რა არის GDPR შესაბამისობა: ყველაფერი, რაც უნდა იცოდეთ თქვენი მონაცემებისა და მათი გამოყენების შესახებ

2018 წლის 25 მაისის მდგომარეობით, The მონაცემთა დაცვის ზოგადი რეგულაცია (GDPR) წესები სრულ ძალაში შევიდა მთელს ევროკავშირი (EU). GDPR-ის კანონებმა დაადგინა სახელმძღვანელო მითითებები, თუ როგორ ხდება პერსონალური ინფორმაციის შეგროვება, დამუშავება და გამოყენება, ამასთან, ასევე არეგულირებს უფლებას გააკონტროლოთ რა გამოიყენება. Chrome-ის ძიების ისტორიის წაშლა ერთი რამ არის, მაგრამ GDPR ბევრად მეტია, ვიდრე უბრალოდ მარტივი კონფიდენციალურობის ვარიანტი. GDPR ასევე გავლენას ახდენს ყველა ქვეყანაზე რომლებიც ამუშავებენ პირთა პერსონალურ მონაცემებს ევროკავშირის ფარგლებში. ჯარიმები სოლიდურია მათთვის, ვინც სათანადოდ ვერ იცავს GDPR-ს. მთავარი ის არის, რომ GDPR იცავს ევროკავშირის მაცხოვრებლებს და აძლევს მათ უფლებას გააკონტროლონ ის ინფორმაცია, რომელსაც პირი ან კომპანია მალავს და იყენებს.

The Facebook-ისა და Cambridge Analytica-ს სკანდალი 2018 წელს მხედველობაში მიიღეს პერსონალიზებული რეკლამის და მონაცემთა შეგროვების კონცეფციები და მან ხაზი გაუსვა ამგვარი პრაქტიკის საშიშროებას. მოკლედ, ბრიტანულ ანალიტიკურ ფირმას, Cambridge Analytica, დაადანაშაულეს მილიონობით მონაცემების მოპოვებაში. ფეისბუქის ანგარიშები მომხმარებლების თანხმობისა და ცოდნის გარეშე, რათა გავლენა მოახდინოს ხმის მიცემის ჩვევებზე 2016 წლის საპრეზიდენტო არჩევნებში არჩევნები.

კემბრიჯ ანალიტიკას სკანდალმა + Facebook-მა შესაძლოა ბრექსიტის კენჭისყრაშიც კი ითამაშა. ფეისბუქმა თითქოს გააღო კარი, რათა შესაძლებელი ყოფილიყო ნდობის ასეთი უხეში ღალატი.

მიუხედავად იმისა, რომ შექმნილია იმისთვის, რომ მართოს, თუ როგორ ამუშავებს ბიზნესი მონაცემებს, GDPR მიზნად ისახავს დაიცვას ნებისმიერი ადამიანი, ვინც იყენებს ინტერნეტს. თუ თქვენ ონლაინ ყიდულობთ, უშვებთ ქუქი-ფაილებს ვებსაიტებზე, დარეგისტრირდებით სოციალურ ქსელებში და იწერთ კიდეც ბიულეტენებს, ახალი რეგულაციები პირდაპირ გავლენას მოახდენს თქვენზე და თქვენს დათვალიერებაზე. თუ ოდესმე პერსონალურ მონაცემებს უზიარებთ სხვა პირს ან კომპანიას, GDPR როლს თამაშობს მონაცემების გამოყენებაში.

აქ არის ყველაფერი, რაც თქვენ უნდა იცოდეთ.

რა არის GDPR?

ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაცია (GDPR) ევროკავშირის ოთხწლიანი მუშაობის შედეგია მონაცემთა დაცვის კანონმდებლობის შესაბამისობაში მოყვანა მონაცემთა გამოყენების ახალ, ადრე გაუთვალისწინებელ გზებთან.

გაერთიანებული სამეფო უკვე ეყრდნობა 1998 წლის მონაცემთა დაცვის აქტს, რომელიც ამოქმედდა 1995 წლის ევროკავშირის მონაცემთა დაცვის დირექტივის შემდეგ, მაგრამ ახალი კანონმდებლობა ანაცვლებს მას. GDPR აწესებს უფრო მკაცრ ჯარიმებს შეუსაბამობისა და დარღვევებისთვის და აძლევს ხალხს მეტ სიტყვებს იმის შესახებ, თუ რა შეუძლიათ კომპანიებს გააკეთონ თავიანთი მონაცემებით. ის ასევე ხდის მონაცემთა დაცვის წესებს მეტ-ნაკლებად იდენტურს მთელ ევროკავშირში.

რატომ შემუშავდა GDPR?

GDPR-ის უკან მდგომი მამოძრავებელი ორია.

Პირველი, ევროკავშირს სურდა ხალხს მეტი კონტროლი მიეცა მათი მონაცემების გამოყენების შესახებ. ბევრი კომპანია, როგორიცაა Facebook და Google, ცვლის ადამიანების მონაცემებზე წვდომას მათი სერვისებით სარგებლობისთვის. მიმდინარე კანონმდებლობა ამოქმედდა მანამ, სანამ ინტერნეტი და ღრუბლოვანი ტექნოლოგია შექმნიდა მონაცემთა გამოყენების ახალ გზებს და GDPR ცდილობს ამის მოგვარებას. მონაცემთა დაცვის კანონმდებლობის გაძლიერებით და აღსრულების უფრო მკაცრი ზომების შემოღებით, ევროკავშირი იმედოვნებს, რომ გააუმჯობესებს ნდობას განვითარებადი ციფრული ეკონომიკის მიმართ.

მეორე, ევროკავშირს სურს, რომ ბიზნესს მისცეს უფრო მარტივი, უფრო აშკარა იურიდიული გარემო, რომ ფუნქციონირონ და შექმნან მონაცემები დაცვის კანონი იდენტურია ერთიან ბაზარზე (ევროკავშირის შეფასებით, ეს დაზოგავს კომპანიებს კოლექტიურ 2,6 მილიარდს წელი).

როდის შევიდა GDPR ძალაში?

GDPR ძალაში შევიდა 2018 წლის 25 მაისს. იმის გამო, რომ GDPR არის რეგულაცია და არა დირექტივა, დიდ ბრიტანეთს არ სჭირდებოდა ახალი კანონმდებლობის შემუშავება. ამის ნაცვლად, კანონები მოქმედებდა ავტომატურად. რეგულაცია რეალურად დაიწყო 2016 წლის 24 მაისს, როდესაც ევროკავშირის ყველა სექცია დათანხმდა საბოლოო ტექსტს. მიუხედავად ამისა, ბიზნესებსა და ორგანიზაციებს კანონის ამოქმედებისთვის ვადა 2018 წლის 25 მაისამდე ჰქონდათ.

ვისზე ვრცელდება GDPR?

მონაცემთა „კონტროლერებმა“ და „დამამუშავებლებმა“ უნდა დაიცვან GDPR. მონაცემთა მაკონტროლებელი აცხადებს, თუ როგორ და რატომ მუშავდება პერსონალური მონაცემები, ხოლო დამმუშავებელი არის მხარე, რომელიც ახორციელებს მონაცემთა რეალურ დამუშავებას. ასე რომ, მაკონტროლებელი შეიძლება იყოს ნებისმიერი ორგანიზაცია, მოგების მაძიებელი კომპანიებიდან დამთავრებული საქველმოქმედო ან თუნდაც მთავრობამდე. პროცესორი შეიძლება იყოს IT ფირმა, რომელიც ახორციელებს მონაცემთა რეალურ დამუშავებას.

როგორც უკვე აღვნიშნეთ, მაგრამ ძალიან მნიშვნელოვანია, ევროკავშირის ფარგლებს გარეთ დაფუძნებული კონტროლერები და პროცესორები კვლავ მოითხოვენ GDPR შესაბამისობას ევროკავშირის რეზიდენტების კუთვნილ მონაცემებთან მუშაობისას.

კონტროლერის პასუხისმგებლობაა უზრუნველყოს მათი დამმუშავებელი დაიცვას მონაცემთა დაცვის კანონმდებლობა და დამმუშავებლები თავად უნდა დაემორჩილონ წესებს მათი დამუშავების საქმიანობის შესახებ ჩანაწერების შესანარჩუნებლად. თუ პროცესორები მონაწილეობენ მონაცემთა დარღვევაში, ისინი ბევრად უფრო პასუხისმგებელნი არიან GDPR-ის მიხედვით, ვიდრე ეს იყო მონაცემთა დაცვის აქტის მიხედვით.

როგორ მივცე თანხმობა GDPR-ის მიხედვით?

თანხმობა უნდა იყოს აქტიური, დადებითი ქმედება მონაცემთა სუბიექტის მიერ და არა პასიური მიღება ზოგიერთი ამჟამინდელი მოდელის მიხედვით, რომელიც იძლევა წინასწარ მონიშნულ ველებს ან უარის თქმას.

კონტროლერებმა უნდა ჩაწერონ, თუ როგორ და როდის გასცა ინდივიდმა თანხმობა და რომ პირებს შეუძლიათ გააუქმონ თანხმობა, როცა სურთ. თუ თანხმობის მიღების თქვენი ამჟამინდელი მოდელი არ აკმაყოფილებს ამ ახალ წესებს, თქვენ უნდა დააჩქაროთ იგი ან შეწყვიტოთ მონაცემების შეგროვება ამ მოდელის მიხედვით.

რა ითვლება პერსონალურ მონაცემად GDPR-ის მიხედვით?

ევროკავშირმა არსებითად გააფართოვა პერსონალური მონაცემების განმარტება GDPR-ის მიხედვით. იმ ტიპის მონაცემების ასახვისთვის, რომლებსაც ორგანიზაციები ახლა აგროვებენ ადამიანების შესახებ, ონლაინ იდენტიფიკატორები, როგორიცაა IP მისამართები, კვალიფიცირდება როგორც პერსონალური მონაცემები. სხვა მონაცემები, როგორიცაა ეკონომიკური, კულტურული და ფსიქიკური ჯანმრთელობის შესახებ ინფორმაცია ასევე განიხილება პერსონალურად იდენტიფიცირებულ ინფორმაციად.

ფსევდონიმიზებული პერსონალური მონაცემები ასევე შეიძლება დაექვემდებაროს GDPR-ის წესებს, იმისდა მიხედვით, თუ რამდენად ადვილი ან რთულია ვისი მონაცემების იდენტიფიცირება.

ყველაფერი, რაც პერსონალურ მონაცემად ითვლება მონაცემთა დაცვის აქტის მიხედვით, ასევე კვალიფიცირდება როგორც პერსონალური მონაცემები GDPR-ის მიხედვით.

როდის შემიძლია წვდომა კომპანიების მონაცემთა შენახვაზე ჩემს შესახებ?

თქვენ შეგიძლიათ მოითხოვოთ წვდომა „გონივრული ინტერვალებით“ და კონტროლერებმა, როგორც წესი, უნდა უპასუხონ ერთი თვის განმავლობაში. GDPR მოითხოვს, რომ კონტროლერები და დამმუშავებლები იყვნენ გამჭვირვალე იმის შესახებ, თუ როგორ აგროვებენ მონაცემებს, რას აკეთებენ მათთან და როგორ ამუშავებენ მას. ახსნა-განმარტებები უნდა იყოს მკაფიო (მარტივი ენით) თქვენთვის მონაცემთა პოლიტიკისა და პროცედურების აღწერისას.

თქვენ გაქვთ უფლება მოიპოვოს ნებისმიერი ინფორმაცია, რომელსაც კომპანია ფლობს თქვენს შესახებ, და უფლება იცოდეს, რატომ მუშავდება ეს მონაცემები, რამდენი ხანი ინახება, და ვინც ნახავს. შეძლებისდაგვარად, მონაცემთა კონტროლერებმა უნდა უზრუნველყონ უსაფრთხო, პირდაპირი წვდომა ადამიანებს, რათა განიხილონ, თუ რა ინფორმაციას ინახავს მაკონტროლებელი მათ შესახებ.

თქვენ ასევე შეგიძლიათ მოითხოვოთ ეს მონაცემები, თუ არასწორია ან არასრული, გამოსწორდეს ნებისმიერ დროს.

რა არის GDPR-ის „დავიწყების უფლება?“

თქვენ გაქვთ უფლება მოითხოვოთ თქვენი მონაცემების წაშლა, თუ ის აღარ არის საჭირო შეგროვებული მიზნისთვის. ეს სცენარი ცნობილია როგორც „დავიწყების უფლება“. ამ წესის მიხედვით, შეგიძლიათ მოითხოვეთ თქვენი მონაცემების წაშლა, თუ თქვენ გააუქმეთ თანხმობა მის შეგროვებაზე, ან გააპროტესტეთ მისი დამუშავების გზა.

კონტროლერი პასუხისმგებელია სხვა ორგანიზაციებს (მაგალითად, Google-ს) უთხრას, რომ წაშალონ ნებისმიერი ბმული მონაცემთა ასლებთან და თავად ასლებთან.

რა მოხდება, თუ მსურს ჩემი მონაცემების სხვაგან გადატანა?

კონტროლერებმა ახლა უნდა შეინახონ ადამიანების ინფორმაცია ჩვეულებრივ გამოყენებად ფორმატებში (როგორიცაა CSV ფაილები), რათა გადაიტანონ პირის მონაცემები სხვა ორგანიზაციაში (უფასოდ), თუ ეს ადამიანი ამას მოითხოვს. კონტროლერებმა ეს უნდა გააკეთონ ერთი თვის განმავლობაში.

რა მოხდება, თუ კომპანია განიცდის მონაცემთა გარღვევას?

კომპანიის პასუხისმგებლობაა, აცნობოს მონაცემთა დაცვის ორგანოს მონაცემთა ნებისმიერი დარღვევის შესახებ, რომელიც საფრთხეს უქმნის ადამიანების უფლებებსა და თავისუფლებებს ორგანიზაციის გაცნობიდან 72 საათის განმავლობაში. გაერთიანებული სამეფოს უფლებამოსილება არის ინფორმაციის კომისრის ოფისი. ინფორმაციის კომისარი ელიზაბეტ დენჰემი თვლის, რომ ადმინისტრაციას მეტი რესურსი სჭირდება, რათა გაუმკლავდეს პოლიციის GDPR-ს და უპასუხოს ორგანიზაციებს, რომლებიც აცნობებენ მას დარღვევების შესახებ. 2017 წლის მარტში მან განუცხადა ევროკავშირის საშინაო საქმეთა ქვეკომიტეტს, რომ მეტი დაფინანსება იყო საჭირო გამოცდილი ადამიანების დასასაქმებლად და შესანარჩუნებლად.

ეს ვადა საკმარისად მჭიდროა, რაც ნიშნავს, რომ კომპანიებმა შესაძლოა არ იცოდნენ დარღვევის ყველა დეტალი მის აღმოჩენამდე. თუმცა, მათმა თავდაპირველმა კონტაქტმა მონაცემთა დაცვის ორგანოსთან უნდა გამოიკვეთოს ზემოქმედების ქვეშ მოქცეული მონაცემების ბუნება, დაახლოებით რამდენი ადამიანია დაზარალებული, რა შედეგები შეიძლება ნიშნავდეს მათ, და რა ზომები აქვთ მათ უკვე მიღებული ან გეგმავენ საპასუხოდ მოქმედებას.

სანამ მონაცემთა დაცვის ორგანოს დაურეკავთ, კომპანიამ უნდა აცნობოს მათ, ვინც დაზარალდა მონაცემთა დარღვევით. მათ, ვინც ვერ შეასრულებს 72-საათიან ვადას, შეიძლება დაჯარიმდეს მათი წლიური მსოფლიო შემოსავლის 2%-მდე, ანუ 10 მილიონი ევრო ($).11,305,550 2020 წლის 12 ივლისის მდგომარეობით და ექვემდებარება ვალუტის რყევას), რომელი უფრო მაღალია.

კარგი, სხვა რა ჯარიმები არსებობს GDPR-ის დაუცველობისთვის?

თუ კომპანია არ დაიცავს მონაცემთა დამუშავების ძირითად პრინციპებს, როგორიცაა თანხმობა, პიროვნების უფლებების იგნორირება მათ მონაცემებზე ან მონაცემების სხვა ქვეყანაში გადაცემა, ჯარიმები უფრო უარესია. მონაცემთა დაცვის ორგანოს შეუძლია დააჯარიმოს 20 მილიონ ევრომდე ($22,611,500 2020 წლის 12 ივლისის მდგომარეობით და ექვემდებარება ვალუტის რყევას) ან კომპანიის გლობალური წლიური ბრუნვის 4%-ს, რაც უფრო დიდია.