GDPR是数据保护的里程碑的5个原因

具有里程碑意义的法规改变了每个人对全球公司如何收集和使用欧盟公民个人数据的心态

具有里程碑意义的法规改变了每个人对全球公司如何收集和使用欧盟公民个人数据的心态

是5月25日Th,2018年,在许多(当时)28个欧盟成员国中,太阳肯定是闪闪发光的。在欧盟的许多公司的办公室(通常也经常在外面)的办公室,这是混乱的一天。

到那天到那天,这些公司已经向客户和客户发送了无数的电子邮件,要求他们同意接受新闻通讯,这是他们今天从未真正要求的。同时,许多没有敬业人员的企业一直在试图弄清他们实际持有的数据类型,以及如何组织和维护它的前进。

但是这个具有里程碑意义的活动是什么?

那天,一般数据保护法规或GDPR,生效,急剧更改每个人都对基于欧盟和非欧盟的公司使用个人数据的心态,这些公司收集,处理和存储欧盟公民的数据。

四年过去了,欧洲的消费者已经期望公司在单击网站的条款和条件上单击“接受”或“同意”按钮时遵守此法规(这是让我们面对现实,几乎没有人读过),并假设监管机构监视法规的应用。

那么主要变化是什么?

在GDPR之前,没有人真正知道哪些客户数据公司正在持有。Facebook只是保留我们的姓名和电话号码或电子邮件吗?Google是否记录了我们的搜索?Netflix从我们观看的内容中了解我们什么?这些公司如何使用这些知识?

1.回答这些问题,GDPR适用于收集的各种数据:

  • 基本身份信息 - 名称,地址和ID号,宗教信仰,政治隶属关系,种族或种族起源,性取向。
  • 健康数据 - 健康状况,血液测试,COVID-19疫苗等。
  • 通信:地理位置,IP地址,网络历史记录,电话和文本。
  • 其他数据,例如银行详细信息,购物数据和应用程序使用。

2.公司需要尊重公民的八项权利:

  • 通知的权利他们的数据正在收集和使用,以共享多长时间以及如何共享。该信息必须以简单且易于访问的语言提供。
  • 访问权公司处理的所有数据以及收集数据的原因或从获得的来源中收集的原因。
  • 纠正权如果任何数据不完整或错误。
  • 被遗忘的权利如果某人在不再需要数据或非法处理数据的情况下,任何时候有人撤回对公司持有该数据的同意,则可以请求。
  • 限制处理的权利作为删除数据的替代方法。用户可以简单地要求其数据不用于某些目的。例如,可以同意使用数据在流平台内使用数据个性化,而不是在营销活动中。
  • 反对权处理更多数据。
  • 数据可移植性的权利。如果用户想访问公司收集的数据并将其交给另一家公司,则最重要的是:您的数据是您的。您可以随时随地将其带到。
  • 不接受分析的权利基于一组具有可能定义行为,信念或其他信息的特征的数据。

3.它具有全球影响

有人会猜测,这一法规仅对欧盟的公司进行了巨大变化,但其影响进一步发展。GDPR适用于所有在欧盟提供商品或服务的企业或该处理的数据欧盟的任何公民。同样,欧盟公民的数据只能出口到具有类似隐私法规的国家(并使用)。

欧盟是世界上三个最大的经济体之一,从各个角落驱动投资,将GDPR视为在27个成员国中的任何一个中运营的最低标准要求。毫不奇怪的是,在世界各地,数据保护监管机构一直在采用国家立法,以协调公司应遵守的一系列规则。

在加拿大,阿根廷,巴西,乌拉圭,日本,新西兰以及最近的韩国。In fact, Canada’s PIPEDA has been in place since 2001, having lent much of its spirit to the EU law regarding establishing accountability as a fundamental legislative principle, but with one essential difference: Contrary to the Canadian law, GDPR applies not only to commercial actors, but also to government entities.

但是,在美国,景观更加多样化。在联邦一级,不同的法律规定了针对性领域,例如HIPAA的健康,信用评级的FCRA,有关教育的FERPA,贷款GLBA和投资数据,ECPA监测通信,COPPA,限制了13岁以下儿童的数据的处理,VPPA for VHS租赁记录或《 FTC法》,确保公司遵守自己的隐私规则。仅有的五个州已经采用了明年生效或将生效的综合隐私法:加利福尼亚州(加利福尼亚州(CCPA以及即将到来的“更新”首字母缩写词CPRA),科罗拉多州(Colopa),弗吉尼亚(VCDPA),康涅狄格州(CTDPA)和犹他州(犹他州UCPA)。

4.如果存在数据泄露,则必须在发现后72小时内报告

GDPR引入的最大新颖性之一是公司有义务在意识到该数据后短短三天内报告数据泄露。相比下,直至现在,美国最严格时间线报告违规为30天。

这项要求促使公司制定了积极的计划来解决数据泄露,这与诱惑要花太长时间的诱惑并试图避免PR危机。在此类事件很普遍的时候,公民需要知道他们的数据可能会受到损害,以便他们可以采取行动

5.如果其中一些规则不适用,则有罚款

当然,这不仅仅是没有有意义后果的空词。GDPR正在执行,截至5月23日,2022年,违反GDPR的行为已导致1,093罚款总计16.3亿欧元(17.4亿美元),可以说,最大的“行动”是世界各地的新闻,影响了大型技术的工作。

2021年,亚马逊是被罚款迄今为止,有针对性的广告未经足够的同意而定为有针对性的广告的7.46亿欧元(8.65亿美元),这是迄今为止最大的金额。在法国组织La Quadrature du Net使Amazon的案件由Lux官员置于该公司座位上。抱怨代表签署请愿书的10,000人。也在2021年谷歌因未在法国为居民提供拒绝使用饼干的容易选择而被罚款9000万欧元(1.02亿美元)的罚款。(饼干部分通过电子私人指令,但GDPR适用,因为它控制了数据同意的管理方式。)Google爱尔兰和Facebook出于相同的原因被给予类似的罚款。

其他知名公司,例如服装品牌H&M, 这英国航空,甚至荷兰税和海关管理被罚款,不得不适应他们的数据保护机制。

您正在控制数据

这是当今许多公司发送的最常见消息之一。这些陈述都使您感到有能力,并显示公司遵守数据和隐私规则。

GDPR无疑是确保我们的数据安全的重要第一步。但是,仅仅存在该法规,就不应该让我们停止质疑为什么需要此数据收集。为什么公司需要这么多了解我们的工作,去向或我们的着装?当我们不同意使用特定部分数据时,还有什么选择?我们可以找到替代服务吗?

此外,如果这么多的服务和应用不介意免费访问它们以换取我们的详细信息,那么我们的数据的实际价值是什么,可以根据订阅费用超过收入?

当然,这是我们所有人都需要尽快而不是晚的对话。

[注:本文于5月26日更新Th,2022年,添加有关康涅狄格州和犹他州隐私立法的信息。]

注册以收到电子邮件更新,每当我们在我们的乌克兰危机 - 数字安全资源中心

通讯

讨论