Il 25 May 2018 tīmeklis ir mainījies vienreiz un uz visiem laikiem. Vismaz Eiropā. Pat ja daudzi toreiz to neapzinājās, tas ir kopš tās dienas GDPR stājās spēkā, Eiropas Komisijas vēlamā regula, lai standartizētu noteikumus attiecībā uz pilsoņu datu apstrādi visā Vecajā kontinentā (tostarp Šveicē). VDAR jo īpaši transponē, "iekļauj" un aizstāj visus valsts noteikumus par personas datu apstrādi un privātuma aizsardzību.

Tieši tomēr, kas ir mainījies, salīdzinot ar pagātni un kas uzņēmumiem jādara lai izvairītos no GDPR pārkāpšanas? UN Kādi ir sodi tiem, kas pārkāpj GDPR? Sapratīsim visu, analizējot praktisku gadījumu.

Kas ir GDPR

Akronīms no Vispārējā datu aizsardzības regula, Vispārīgā datu aizsardzības regula itāļu valodā, GDPR ir noteikumu un noteikumu kopums, kas jāievēro visiem subjektiem, kas apstrādā tīmekļa lietotāju datus. Jo īpaši GDPR attiecas uz lietotāju personas datu apstrādi uzņēmumiem, to saglabāšanu un iespēju pašiem lietotājiem tos pārvaldīt vienkāršā un tūlītējā veidā.

GDPR: ko tas nodrošina

Galvenie punkti, ap kuriem griežas visa GDPR struktūra, būtībā ir divi:

• Vienkāršot normatīvo regulējumu, kurā uzņēmumi atrodas Eiropas Savienības tirgū (un citās valstīs, kurām ir līgums ar ES);
• Sniedziet lietotājiem lielāku kontroli pār saviem datiem no brīža, kad uzņēmums tos ieguvis, līdz to dzēšanai.

Lai tas būtu iespējams, VDAR pieprasa uzņēmumiem, kuru piekrišanas pieprasījumiem ir jābūt skaidrākiem un lietotājiem "lasāmiem"; ir noteikti datu apstrādes un izmantošanas ierobežojumi; sankciju piemērošana uzņēmumiem, kas pārkāpj datu apstrādes noteikumu nosacījumus. Turklāt datu pārkāpuma gadījumā (datu zudums, kas parasti rodas noziedznieku veiktas zādzības rezultātā), datu pārzinis (uzņēmuma profesionālis, t.s. Datu aizsardzības inspektors) ir pienākums pēc iespējas ātrāk informēt iestādes un likumīgos īpašniekus. Ja tas nenotiek, VDAR paredzētos sodus tie kļūtu vēl sāļāki.

2020. gada vidū parādījās jaunums saistībā ar Piekrišana datu apstrādei ko uzņēmumi apkopo, izmantojot tīmekļa rīkus. Iepriekšējos divos gados pietika ar to, ka lietotājs ritināja daļu no tīmekļa lapas, lai uzskatītu, ka piekrišana ārstēšanai ir iegūta. Eiropas Kopienu Tiesas nolēmums nosaka, ka piekrišanai jābūt aktīvai un nepārprotamai. Tas nozīmē, ka lietotājs, lai pieņemtu sīkfailus, ir jānoklikšķina uz reklāmkaroga, lai pieprasītu piekrišanu, izvēloties, vai atļaut izmantot stingri nepieciešamās tehniskās sīkdatnes vai visas sīkdatnes. Šī iemesla dēļ, piemēram, jūs arvien biežāk redzat piekrišanas reklāmkarogu, pat ja tā ir vietne, kuru apmeklējat bieži.

Ar ko riskē tie, kas pārkāpj GDPR: sankcijas

GDPR arī nodrošina sankcijas diezgan smags gadījumā, ja datu apstrāde, ko veic uzņēmums, neatbilst tajos ietvertajiem noteikumiem vai nedarbojas komunikācijas jomā.

Sankcijas ir divu veidu atkarībā no izdarītā pārkāpuma smaguma. Par nelieliem pārkāpumiem (piemēram, datu apstrādes reģistra trūkums, datu pārziņa neiecelšana, datu aizsardzības pārkāpuma nepaziņošana) tiek piemērots sods. līdz 10 miljoniem eiro jeb 2% no pasaules apgrozījuma ja tas ir lielāks par šo skaitli. Par nopietniem pārkāpumiem (piemēram, piekrišanas ārstēšanai nesniegšana, ieinteresētās personas tiesību pārkāpšana, privātuma informācijas iztrūkums vai nepiemērota informācija un datu pārsūtīšanas noteikumu pārkāpšana) naudas sods sasniedz līdz 20 miljoniem eiro jeb 4% no pasaules apgrozījuma.

Piemēram, holdinga kompānijas Alphabet, kas kontrolē Google un visus Mauntinvjū giganta orbītā esošos uzņēmumus, gada apgrozījums ir 46 miljardi dolāru, un nopietna pārkāpuma gadījumā tas varētu būt spiests samaksāt līdz pat 1,9 miljardus dolāru lielu soda naudu.

GDPR sankcijas: H&M lieta

Tomēr datu pārvaldība un to aizsardzība attiecas ne tikai uz klientiem un vietnes lietotājiem. Darbinieku dati arī jāiegūst, jāapstrādā un arhivē, atsaucoties uz Vispārīgās datu apstrādes regulas noteikumiem. Viens piemērs ir H&M, sodīja vairāk nekā 35 miljonus eiro, jo tika atklāts savu darbinieku nelikumīga profilēšana. Datu pārkāpums faktiski atklājis reālu iekšējās spiegošanas gadījumu: vismaz kopš 2014. gada H&M ieraksta savu darbinieku datus, informāciju un sarunas, visu (bez atļaujas) arhivē privātajos serveros.

Īpaši invazīva profilēšanas darbība, kas acīmredzami negatīvi ietekmēja darba attiecības starp Zviedrijas modes gigantu un tā darbiniekiem. Hamburgas datu aizsardzības iestāde tādējādi piemēroja H&M naudas sodu 35,3 miljonu eiro apmērā. Savukārt uzņēmums atvainojās skandālā iesaistītajiem darbiniekiem, radikāli reorganizējot biroju.

Sankcija, kas kalpo arī kā brīdinājums visiem pārējiem uzņēmumiem: valsts iestādes (šajā gadījumā Vācijas, bet sankcijas ir vienādas visā Eiropas Savienības teritorijā un attiecas arī uz uzņēmumiem, kas atrodas ārpus ES robežām) nepieļauj datu pārkāpumus vai datu apstrādi, kas neatbilst GDPR noteikumiem. Ikviens, kas pieķerts nozieguma izdarīšanā, par savu uzvedību maksās lielu naudu.