Il 25 May 2018 internet birdəfəlik dəyişdi. Ən azından Avropada. Çoxları bunu o zaman dərk etməsə də, o gündən bəridir GDPR qüvvəyə minmişdir, Avropa Komissiyasının Köhnə Qitədə (İsveçrə daxil olmaqla) vətəndaşların məlumatlarının emalı ilə bağlı qaydaları standartlaşdırmaq üçün istədiyi tənzimləmə. GDPR, xüsusən də, şəxsi məlumatların emalı və məxfiliyin qorunması ilə bağlı bütün milli qaydaları köçürür, "birləşdirir" və əvəz edir.

Məhz, lakin keçmişlə müqayisədə nə dəyişdi və şirkətlər nə etməlidir GDPR-ni pozmamaq üçün? VƏ GDPR-ni pozanlar üçün hansı cəzalar var? Praktik bir işi təhlil edərək hər şeyi anlayaq.

GDPR nədir

qısaltması Ümumi Məlumatların Mühafizəsi Qaydası, İtalyan dilində Ümumi Məlumatların Qorunması Qaydası, GDPR veb istifadəçi məlumatlarını emal edən bütün subyektlərin riayət etməli olduğu qaydalar və qaydalar toplusudur. Xüsusilə, GDPR ilə məşğul olur istifadəçilərin şəxsi məlumatlarının emalı şirkətlər tərəfindən, onların sonuncular tərəfindən mühafizəsi və istifadəçilərin özləri üçün onları sadə və dərhal idarə edə bilmə imkanı.

GDPR: nə təmin edir

GDPR-nin bütün strukturunun ətrafında döndüyü əsas məqamlar əsasən ikidir:

• Şirkətlərin Avropa İttifaqı bazarında (və Aİ ilə müqaviləsi olan digər ölkələrdə) hərəkət etdiyi tənzimləyici çərçivəni sadələşdirmək;
• İstifadəçilərə məlumatların şirkət tərəfindən alındığı andan silinənə qədər onlara daha çox nəzarət imkanı verin.

Bunun mümkün olması üçün, GDPR şirkətlərdən tələb edir ki, razılıq sorğuları istifadəçilər tərəfindən daha aydın və "oxunan" olmalıdır; məlumatların işlənməsi və istifadəsinə məhdudiyyətlər müəyyən edilir; məlumatların işlənməsi qaydalarının müddəalarını pozan şirkətlərə qarşı sanksiyaların tətbiqi. Bundan əlavə, məlumatların pozulması halında (adətən cinayətkarlar tərəfindən həyata keçirilən oğurluq nəticəsində məlumat itkisi) məlumat nəzarətçisi (şirkət daxilindəki peşəkar Data Protection Officer) ən qısa müddətdə səlahiyyətlilərə və qanuni sahiblərə məlumat vermək tələb olunur. Bu baş verməzsə, GDPR ilə nəzərdə tutulmuş cəzalar daha da duzlu olardılar.

2020-ci ilin ortalarında ilə bağlı bir yenilik gəldi Məlumatların emalına razılıq şirkətlərin veb alətləri vasitəsilə topladığı. Əvvəlki iki ildə, əslində, istifadəçinin müalicəyə razılığı əldə edilmiş hesab etmək üçün veb səhifənin bir hissəsini sürüşdürməsi kifayət idi. Avropa Ədalət Məhkəməsinin qərarı razılığın aktiv və birmənalı olmasını müəyyən edir. Bu o deməkdir ki, istifadəçi kukiləri qəbul etmək üçün, razılıq tələb etmək üçün bannerə klikləməlidir, ciddi zəruri texniki kukilərin və ya bütün kukilərin istifadəsinə icazə verilməsini seçmək. Bu səbəbdən, məsələn, tez-tez ziyarət etdiyiniz sayt olsa belə, razılıq bannerini getdikcə daha tez-tez görürsünüz.

GDPR-ni pozanlar nə risk edir: sanksiyalar

GDPR də təmin edir sanksiyalar olduqca ağır bir şirkət tərəfindən məlumatların işlənməsi oradakı müddəalara uyğun gəlmədikdə və ya rabitə sahəsində defolt olduqda.

Törədilmiş pozuntunun ciddiliyindən asılı olaraq sanksiyalar iki növdür. Kiçik pozuntular üçün (məlumatların emalı reyestrinin olmaması, məlumat nəzarətçisinin təyin edilməməsi, məlumatların pozulması barədə məlumat verilməməsi kimi) cəza gəlir. 10 milyon avroya qədər və ya dünya dövriyyəsinin 2%-i bu rəqəmdən yüksək olarsa. Ciddi pozuntulara görə (məsələn, müalicəyə razılığın olmaması, maraqlı tərəfin hüquqlarının pozulması, məxfilik haqqında məlumatın çatışmayan və ya yararsız olması və məlumatların ötürülməsi ilə bağlı müddəaların pozulması kimi) cərimə 20 milyon avroya və ya dünya dövriyyəsinin 4%-nə qədərdir.

Məsələn, Google-a və Mountain View nəhənginin orbitindəki bütün şirkətlərə nəzarət edən holdinq şirkəti Alphabet-in illik dövriyyəsi 46 milyard dollardır və ciddi pozuntu halında 1,9-a qədər pul ödəməyə məcbur edilə bilər. milyard dollar cərimə.

GDPR sanksiyaları: H&M işi

Məlumatların idarə edilməsi və onların mühafizəsi, bununla belə, təkcə saytın müştərilərinə və istifadəçilərinə aid deyil. İşçilərin məlumatları həmçinin Ümumi Məlumatların Emalı Qaydasının müddəalarına istinad edilməklə əldə edilməli, emal edilməli və arxivləşdirilməlidir. Bir nümunə H&M-dir, işçilərinin qeyri-qanuni profilinin aşkar edildiyi üçün 35 milyon avrodan çox cərimələnib. Məlumatların pozulması faktiki olaraq real daxili casusluq hadisəsini üzə çıxardı: ən azı 2014-cü ildən H&M öz işçilərinin məlumatlarını, məlumatlarını və söhbətlərini qeyd edir, hər şeyi (icazəsiz) şəxsi serverlərdə arxivləşdirir.

Xüsusilə invaziv profilləşdirmə fəaliyyəti, bu, açıq-aydın İsveç moda nəhəngi ilə işçiləri arasındakı iş münasibətlərinə mənfi təsir göstərdi. Beləliklə, Hamburq məlumatların mühafizəsi orqanı H&M-ni 35,3 milyon avro məbləğində cərimələyib. Şirkət öz növbəsində ofisi kökündən yenidən təşkil edərək, qalmaqalda iştirak edən işçilərdən üzr istəyib.

Bütün digər şirkətlər üçün xəbərdarlıq rolunu oynayan bir sanksiya: dövlət orqanları (bu halda Almaniya, lakin sanksiyalar bütün Avropa İttifaqında eynidir və həmçinin Aİ hüdudlarından kənarda yerləşən şirkətlərə aiddir) məlumatlara icazə vermir. GDPR müddəalarına uyğun olmayan pozuntular və ya məlumatların işlənməsi. Cinayət törətməkdə yaxalanan hər kəs davranışına görə ağır ödəyəcək.