Forordning (EU) 2016/679 | ||
---|---|---|
EU-forordning | ||
Tittel | Forordning om beskyttelse av data om fysiske personer med hensyn til behandling av personopplysninger og fri flyt av disse dataene og oppheving av direktiv 95/46/EF (generell databeskyttelsesforordning) | |
Laget av | Europaparlamentet og Den europeiske unions råd | |
OJEU- referanse | L 119, 4.5.2016, s. 1–88 | |
Historie | ||
Godkjenningsdato | 14. april 2016 | |
søknadsdato | 25. mai 2018 | |
forberedende tekster | ||
Kommisjonens forslag | COM/2012/010 endelig – 2012/0010 (COD) | |
Relatert lovverk | ||
erstatter | Databeskyttelsesdirektivet | |
Gjeldende lovverk | ||
General Data Protection Regulation ( RGPD ) er den europeiske forordningen om beskyttelse av fysiske personer med hensyn til behandling av deres personopplysninger og fri sirkulasjon av disse dataene. Den trådte i kraft 24. mai 2016 og ble gjeldende 25. mai 2018, to år hvor bedrifter, organisasjoner, byråer og institusjoner tilpasset seg den. Det er en forskrift på EU- nivå , så ethvert selskap i unionen, eller de selskapene som har virksomhet i EU, som håndterer personlig informasjon av noe slag, må overholde den. Bøter for manglende overholdelse av GDPR kan komme opp i 20 millioner euro.
I Spania gjorde RGPD den organiske loven om beskyttelse av personopplysninger (LOPD) av 1999 foreldet, og ble erstattet 6. desember 2018 av den organiske loven om beskyttelse av personopplysninger og garanti for digitale rettigheter , i samsvar med GDPR . [ 1 ]
Før en spesifikk forskrift var den eneste beskyttelsen rettspraksisen til Høyesterett for kassasjon ; For å respektere Schengen-avtalene og for å overholde EU-direktiv 95/46/CE av 24. oktober 1995, knyttet til beskyttelse av fysiske personer med hensyn til behandling av personopplysninger, er loven nr. 675 av 31. desember 1996, som trådte i kraft i mai 1997.
Over tid har denne regelen blitt supplert med andre lover, knyttet til individuelle og spesifikke aspekter ved databehandling. Den regulatoriske kompleksiteten som oppsto som følge av godkjenningen av ulike bestemmelser førte til vedtakelsen av d.lgs. 196 av 30. juni 2003, som fullstendig omorganiserte saken. I 2011 og 2012 endret andre bestemmelser 2003-koden, spesielt ved å fjerne noen byråkratiske prosedyrer (som DPS) eller reglene for sensitiv informasjon som spontant ble gitt gjennom CV -en din .
Den 25. januar 2012 godkjente EU-kommisjonen forslaget til en forordning om beskyttelse av personopplysninger som erstatter direktiv 95/46/EF. Den 4. mai 2016 ble EU-forordningen nr. 2016/679 (direkte gjeldende uten behov for innføringslov), hvis endelige ikrafttredelse fant sted 25. mai 2018.
Det nye EUs databeskyttelsesregime utvider omfanget av EUs databeskyttelseslov til alle utenlandske selskaper som behandler data fra EU-innbyggere. For å overholde disse forskriftene kommer dette imidlertid på bekostning av et strengt overholdelsesregime for databeskyttelse med strenge straffer på opptil 4 % av verdensomsetningen. [ 2 ]
GDPR tilbyr også et nytt sett med "digitale rettigheter" for EU-borgere i en tid da den økonomiske verdien av personopplysninger øker i den digitale økonomien.
Den generelle databeskyttelsesforordningen inneholder følgende nøkkelkrav: [ 3 ] [ 4 ]
Forskriften gjelder enten den behandlingsansvarlige (en organisasjon som samler inn data fra innbyggere i EU) eller databehandleren (en organisasjon som behandler data på vegne av den behandlingsansvarlige, for eksempel leverandører av skytjenester) eller den registrerte (personen) er basert i EU. Videre gjelder forordningen også for organisasjoner basert utenfor EU dersom de samler inn eller behandler personopplysninger om innbyggere i EU. Ifølge EU-kommisjonen er "Personopplysninger all informasjon knyttet til en person, enten den er relatert til deres private, profesjonelle eller offentlige liv. Det kan være alt fra navn, adresse, bilde, e-postadresse, bankdetaljer, innlegg på sosiale medier medienettsteder, medisinsk informasjon eller IP-adressen til en datamaskin." [ 5 ]
Forordningen er ikke ment å gjelde for behandling av personopplysninger for nasjonal sikkerhet eller rettshåndhevelsesaktiviteter i EU; bransjegrupper som er bekymret for potensielle lovkonflikter, har imidlertid stilt spørsmål ved om artikkel 48 i GDPR kan påberopes for å forhindre at en behandlingsansvarlig underlagt lovene i et tredjeland overholder en rettshåndhevelsesorden i det landet, rettslig. , eller nasjonale sikkerhetsmyndigheter utleverer personopplysningene til en EU-person til disse myndighetene, uavhengig av om dataene befinner seg innenfor eller utenfor EU.
Artikkel 48 sier at enhver dom fra en domstol og enhver avgjørelse fra en administrativ myndighet i et tredjeland som krever at en behandlingsansvarlig eller databehandler overfører eller utleverer personopplysninger, bare kan anerkjennes eller håndheves på noen måte hvis den er basert på en avtale. for eksempel en eksisterende avtale om gjensidig rettshjelp mellom det anmodende tredjelandet (ikke-EU) og unionen eller en medlemsstat, inkluderer databeskyttelsesreformpakken også et eget databeskyttelsesdirektiv for rettshåndhevelsessektoren og strafferettssystemet som gir standarder om utveksling av personopplysninger på nasjonalt, europeisk og internasjonalt nivå.
Et enkelt sett med regler vil gjelde for alle EUs medlemsland. Hvert medlemsland vil opprette en uavhengig tilsynsmyndighet (SA) for å høre og undersøke klager, sanksjonere administrative brudd osv. SA-ene i hver medlemsstat vil samarbeide med andre SA-er, gi gjensidig bistand og organisere felles operasjoner. Der et selskap har flere virksomheter i EU, vil det ha en enkelt SA som sin "hovedmyndighet", avhengig av hvor dets "hovedetablering" befinner seg (dvs. stedet hvor hovedforedlingsaktivitetene utføres). Den ledende myndigheten vil fungere som en " one stop shop " for å overvåke alle behandlingsaktiviteter til det selskapet i hele EU. [ 6 ] [ 7 ] (Artikkel 46–55 i RGPD). European Data Protection Board (EDPB) vil koordinere SA. EDPB vil erstatte artikkel 29-arbeidsgruppen .
Det finnes unntak for data som behandles i arbeidssammenheng og data som behandles for nasjonale sikkerhetsformål som fortsatt kan være underlagt regelverket i hvert land (artikkel 2 (2) (a) og 82 i GDPR).
Varslingskravene består og utvides. De må inkludere oppbevaringstid for personopplysninger og kontaktinformasjon for behandlingsansvarlig og en personvernombud må oppgis .
Automatisert individuell beslutningstaking, inkludert profilering (artikkel 22) kan diskuteres, i likhet med databeskyttelsesdirektivet (artikkel 15). Innbyggere har rett til å stille spørsmål og kjempe mot viktige beslutninger som berører dem og som er tatt på eksklusivt grunnlag av ic - algoritmen . Mange medier har kommentert innføringen av en "rett til forklaring" for algoritmiske avgjørelser, [ 8 ] [ 9 ] men juridiske forskere har siden hevdet at eksistensen av en slik rettighet er uklar uten rettslig bevis, og i beste fall er begrenset. [ 10 ] [ 11 ]
For å demonstrere samsvar med GDPR, må den behandlingsansvarlige iverksette tiltak som overholder prinsippene om databeskyttelse ved design og databeskyttelse som standard. Personvern ved design og som standard (artikkel 25) krever at databeskyttelsestiltak er utformet for utvikling av forretningsprosesser for produkter og tjenester. Slike tiltak inkluderer personopplysninger Pseudonymisering av behandlingsansvarlig så snart som mulig (betraktning 78).
Det er den behandlingsansvarliges ansvar å iverksette effektive tiltak og å kunne påvise samsvar med behandlingsaktivitetene, selv om behandlingen utføres av en databehandler på vegne av den behandlingsansvarlige. (Betraktning 74).
Konsekvensvurderinger for databeskyttelse (artikkel 35) må gjennomføres når det oppstår spesifikke risikoer for de registrertes rettigheter og friheter. Risikovurdering og redusering er nødvendig, og forhåndsgodkjenning fra datatilsynsmyndighetene (DPA-er) kreves for høyere risiko. Databeskyttelsesansvarlige (artikkel 37-39) må sørge for overholdelse i organisasjoner.
De må utnevnes:
Opplysningene kan kun behandles dersom det i det minste er lovlig grunnlag for å gjøre det. [ 13 ] Det juridiske grunnlaget for behandling av data er:
Når samtykke brukes som rettslig grunnlag for behandling, må samtykket være eksplisitt for opplysningene som samles inn og formålene opplysningene brukes til (artikkel 7, definert i artikkel 4). Samtykke for barn [ 14 ] må gis av forelder eller verge til barnet, og kan verifiseres (artikkel 8). Behandlingsansvarlige må kunne bevise «samtykke» (opt-in) og samtykke kan trekkes tilbake. [ 15 ]
GDPR-samtykkespørsmålet har en rekke implikasjoner for selskaper som tar opp samtaler i praksis. Typiske oppfordringer som "denne samtalen blir tatt opp av sikkerhetsgrunner" vil ikke lenger være tilstrekkelig for å få antatt samtykke til å ta opp samtaler. Dessuten, når opptaket har startet, hvis personen som tas opp trekker tilbake samtykket, må den oppringte agenten kunne stoppe et tidligere startet opptaket og sørge for at opptaket ikke lagres. [ 16 ]
Der behandlingen utføres av en offentlig myndighet, med unntak av uavhengige domstoler eller rettsmyndigheter når de opptrer i sin dømmende egenskap, eller hvor behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av databehandling operasjoner.behandling som krever regelmessig og systematisk overvåking av registrerte, bør en person med ekspertkunnskap om personvernlovgivning og -praksis bistå den behandlingsansvarlige eller databehandleren med å overvåke intern etterlevelse av denne forordning.
DPOen er lik, men ikke den samme som en Compliance Officer, da de også forventes å være dyktige i IT-prosessstyring, datasikkerhet (inkludert håndtering av cyberangrep) og andre kritiske forretningskontinuitetsproblemer i oppbevaring og behandling av personlig og konfidensiell data. Det nødvendige ferdighetssettet strekker seg utover å forstå lovlig overholdelse av databeskyttelseslover og -forskrifter.
Å utnevne en DPO i en stor organisasjon vil være utfordrende for styret så vel som den aktuelle personen. Det er et utall av styrings- og menneskelige faktorer som organisasjoner og selskaper må ta tak i gitt omfanget og arten av utpekingen. I tillegg må jobbinnehaveren bygge opp sitt eget støtteteam og vil også være ansvarlig for sin egen kontinuerlige faglige utvikling ettersom de må være uavhengige av organisasjonen som ansetter dem, effektivt som en "miniregulator".
Den 13. desember 2016 (revidert 5. april 2017) ble flere detaljer om rollen og rollen til personvernombudet gitt med et veiledningsdokument. [ 17 ]
Pseudonymisering er en datahåndtering og dataavidentifikasjonsprosedyre der personlig identifiserbare informasjonsfelt i en datapost erstattes med en eller flere kunstige identifikatorer. Et unikt pseudonym for hvert erstattet felt eller sett med erstattede felt gjør dataposten mindre identifiserbar, men er fortsatt egnet for dataanalyse og databehandling .
Pseudonymiserte data legemliggjør toppmoderne når det gjelder Data Protection by Design og som standard, siden det krever beskyttelse av direkte og indirekte identifikatorer (ikke bare direkte). Databeskyttelse ved design og databeskyttelse som standard i GDPR, slik de er nedfelt i pseudonymisering, krever beskyttelse av direkte og indirekte identifikatorer, slik at personopplysninger ikke kan kryssreferanser (eller re-identifiseres). -identifikasjon) gjennom «mosaikkeffekt» uten tilgang til «tilleggsinformasjonen» som behandlingsansvarlig oppbevarer separat. Siden tilgang til separat oppbevart "tilleggsinformasjon" er nødvendig for re-identifikasjon, kan den behandlingsansvarlige begrense tilordningen av dataene til et spesifikt datasubjekt kun for å støtte juridiske formål.
Pseudonymisering (eller pseudonymisering, stavemåten i henhold til europeiske retningslinjer) er en måte å overholde kravene i den nye General Data Protection Regulation (RGPD) i EU for sikker lagring av personopplysninger . Pseudonymiserte data kan gjenopprettes til sin opprinnelige tilstand med tillegg av informasjon som gjør at enkeltpersoner kan identifiseres på nytt, mens anonymiserte data aldri kan gjenopprettes til sin opprinnelige tilstand.
GDPR i EU refererer til kryptering, eller kryptering, av data som den sikreste formelen for beskyttelse. Faktisk sier den i artiklene 33 og 34 at hvis informasjonen er kryptert, selv om det er en lekkasje, er det ikke nødvendig å varsle de berørte, og heller ikke den tilsvarende administrative myndigheten, når det gjelder Spania, det spanske beskyttelsesbyrået av data..
Den peker også på pseudonymisering som etterspurt for enhver lagring av personopplysninger om personer innenfor EU som et alternativ til det andre alternativet med dataanonymisering . [ 18 ]
For å anvende databeskyttelsesprinsipper må behandlere og behandlingsansvarlige for personopplysninger etablere tekniske tiltak og organisatoriske tiltak. Og forretningsprosesser som håndterer personopplysninger bør utformes og bygges med prinsippene i tankene og gi sikkerhetstiltak for å beskytte data (f.eks. ved bruk av pseudonymisering eller full anonymisering der det er nødvendig). Behandlingsansvarlige designer informasjonssystemer med tanke på personvern. For eksempel å bruke personverninnstillinger så høye som mulig som standard, slik at datasett ikke er offentlig tilgjengelig og ikke kan brukes til å identifisere et emne. Ingen personopplysninger kan behandles med mindre denne behandlingen utføres under ett av de seks rettsgrunnlagene som er spesifisert i forordningen (samtykke, kontrakt, offentlig funksjon, vital interesse, legitim interesse eller lovkrav). Når behandlingen er basert på samtykke, har interessenten rett til å tilbakekalle den når som helst.
I henhold til GDPR vil databehandleren være juridisk forpliktet til å varsle tilsynsmyndigheten uten ugrunnet opphold. Varsling om databrudd er ikke underlagt noen bagatellmessige regler og må varsles til Tilsynsmyndigheten innen 72 timer etter at man ble kjent med databruddet (artikkel 33). Personer må varsles hvis det fastslås en negativ påvirkning (artikkel 34). Videre skal databehandler varsle den behandlingsansvarlige uten opphold etter å ha blitt kjent med et personopplysningsbrudd (artikkel 33).
Varsling til registrerte er imidlertid ikke nødvendig dersom den behandlingsansvarlige har iverksatt hensiktsmessige tekniske og organisatoriske beskyttelsestiltak som gjør personopplysningene uforståelige for alle som ikke har tilgang til dem, for eksempel kryptering (artikkel 34) .
Følgende sanksjoner kan ilegges:
Forslaget [ 7 ] for GDPR ble utgitt 25. januar 2012.
EUs strategi for digitalt indre marked har som mål å åpne opp digitale muligheter for mennesker og bedrifter og forbedre Europas posisjon som verdensledende innen den digitale økonomien. [ 25 ]
Som en del av denne strategien er GDPR og direktivet om sikkerhet for nettverk og informasjonssystemer (NIS-direktivet) gjeldende fra 25. mai 2018. Personvernforordningen "[foreslått]" gjelder også fra 25. mai 2018. mai 2018. eIDAS Regulering er også en del av strategien.
I henhold til GDPR oppfordres organisasjoner til å gi tilbake kontroll over personopplysninger til den enkelte eller innbygger. Gjøre det lettere for dem å få tilgang til dataorganisasjonene de har og slik at de kan endre tillatelsene de gir slik at de blir brukt (se juridiske grunnlag for behandling) eller delt.
Personlig informasjonshåndtering hjelper organisasjoner med å gi tilbake denne kontrollen, og det finnes en rekke verktøy og løsninger for å hjelpe med dette.
I følge en studie utført av Deloitte i 2018, mener 92 % av selskapene at de kan overholde GDPR i sin praksis på lang sikt. [ 26 ]
Selskaper som opererer utenfor EU har investert mye i å tilpasse sin forretningspraksis med GDPR. GDPR-omfanget av samtykke har en rekke implikasjoner for virksomheter som logger anrop som et spørsmål om praksis. Det typiske juridiske varselet anses ikke som tilstrekkelig for å innhente samtykke til å ta opp samtaler. Videre, når opptaket har startet, bør innringeren trekke tilbake sitt samtykke, hvoretter agenten som mottar samtalen skal kunne stoppe et tidligere påbegynt opptak og garantere at opptaket ikke blir lagret. [ 27 ]
IT-fagfolk forventer at overholdelse av GDPR vil kreve ytterligere investeringer totalt sett: Mer enn 80 prosent av respondentene forventet at GDPR-relaterte utgifter skulle være på minst $100 000. [ 28 ] Bekymringene ble gjentatt i en rapport fra lederne av advokatfirmaet Baker & McKenzie , som fant at over «70 prosent av respondentene mener at organisasjoner vil trenge ytterligere investeringer i budsjett/innsats for å oppfylle samtykket, datakartleggingen og kravene iht. GDPR for grenseoverskridende dataoverføring». [ 29 ] Den totale kostnaden for EU-transportører er estimert til 200 milliarder euro mens amerikanske luftfartsselskaper forventes å koste 41,7 milliarder dollar. Det har blitt hevdet at små bedrifter og startups kanskje ikke har de økonomiske ressursene til å overholde GDPR tilstrekkelig, i motsetning til de internasjonale og store teknologiselskapene (som Facebook og Google ) som denne forskriften tilsynelatende er ment for. [ 30 ] [ 31 ] Mangel på kunnskap og misforståelse av regelverket har også vært en bekymring i forkant av tilpasningen. [ 32 ] Motargumentet til dette har vært at selskapene ble kjent med disse endringene to år før de trådte i kraft og derfor burde ha tilstrekkelig tid til å forberede seg. [ 33 ]
Regelverket, herunder om et selskap må ha en personvernombud, har blitt kritisert for potensielle administrative byrder og uklare etterlevelseskrav. [ 34 ] I tillegg er dataminimering et krav, at pseudonymisering er et av de mulige virkemidlene, forskriften gir ikke veiledning om hvordan og hva som utgjør en effektiv dataavidentifikasjonsordning, med en gråsone for hva som kan anses som uriktig pseudonymisering underlagt håndhevingshandlinger i avsnitt 5. [ 35 ] Det er også bekymringer angående implementeringen av GDPR i blokkjedesystemer , slik som transparent logging og logging av blokkjedetransaksjoner som motsier blokkjedens natur. [ 36 ] Mange medier har kommentert innføringen av en "rett til forklaring" for algoritmiske avgjørelser, [ 37 ] [ 38 ] men juridiske kandidater har hevdet at eksistensen av en slik rett er stort sett uklar. uten rettslige tester og begrenset i de beste tilfeller. [ 39 ] [ 40 ]
GDPR har fått støtte fra bedrifter som ser dette som en mulighet til å forbedre sin datahåndtering. [ 41 ] [ 42 ] Mark Zuckerberg har også kalt det "en veldig positiv ting for internett", [ 43 ] og har bedt om at GDPR -lover skal vedtas i USA. [ 44 ] organisasjoner som European Consumer Organisation, er blant de mest aktive forkjemperne for lovgivningen. [ 45 ] Andre støttespillere har tilskrevet hans passasje til varsleren Edward Snowden . [ 46 ] Forkjemper for fri programvare Richard Stallman har berømmet noen aspekter av GDPR, men etterlyst ytterligere sikkerhetstiltak for å hindre teknologiselskaper fra å "lisensiere produksjonen deres". [ 47 ]