Il 25 maí 2018 vefurinn hefur breyst í eitt skipti fyrir öll. Að minnsta kosti í Evrópu. Jafnvel þó að margir hafi ekki áttað sig á því á þeim tíma, hefur það verið frá þeim degi GDPR tók gildi, reglugerðin sem framkvæmdastjórn Evrópusambandsins óskar eftir að staðla reglurnar sem varða vinnslu gagna borgara um Gamla meginlandið (þar á meðal í Sviss). GDPR, sérstaklega, innleiðir, „innlimar“ og kemur í stað allra landsreglna um vinnslu persónuupplýsinga og friðhelgi einkalífs.

Einmitt hins vegar hvað hefur breyst miðað við fortíðina og hvað fyrirtæki þurfa að gera til að forðast að brjóta GDPR? OG Hver eru viðurlögin fyrir þá sem brjóta gegn GDPR? Við skulum skilja allt með því að greina hagnýtt mál.

Hvað er GDPR

Skammstöfun á Almennar gagnaverndarreglur, General Data Protection Regulation á ítölsku, GDPR er sett af reglum og reglugerðum sem allir einstaklingar sem vinna úr vefnotendagögnum verða að fara eftir. Sérstaklega fjallar GDPR um vinnslu persónuupplýsinga notenda af fyrirtækjunum, varðveislu þeirra hjá þeim síðarnefndu og möguleikinn fyrir notendur sjálfa að geta stjórnað þeim á einfaldan og tafarlausan hátt.

GDPR: það sem það veitir

Lykilatriðin sem öll uppbygging GDPR snýst um eru í meginatriðum tveir:

• Einfalda regluverkið sem fyrirtæki lenda í að flytja á markaði Evrópusambandsins (og önnur lönd sem hafa sáttmála við ESB);
• Veittu notendum meiri stjórn á gögnum sínum, frá því að fyrirtækin eignast þau þar til þeim er eytt.

Til þess að þetta sé mögulegt krefst GDPR fyrirtækja að beiðnir um samþykki verði að vera skýrari og „læsilegar“ fyrir notendur; takmörk sett á vinnslu og notkun gagna; beitingu viðurlaga á fyrirtæki sem brjóta gegn ákvæðum gagnavinnslureglugerða. Ennfremur, ef um gagnabrot er að ræða (tap á gögnum, venjulega vegna þjófnaðar sem framinn er af glæpamönnum), þá er ábyrgðaraðili gagna (sérfræðingur innan fyrirtækisins, s.l. Data Protection Officer) ber að tilkynna yfirvöldum og lögmætum eigendum eins fljótt og auðið er. Ef þetta gerist ekki, þá viðurlög sem GDPR kveður á um þeir yrðu enn saltari.

Um mitt ár 2020 kom nýjung varðandi Samþykki fyrir vinnslu gagna sem fyrirtæki safna í gegnum veftól. Síðustu tvö árin var reyndar nóg fyrir notandann að fletta hluta af vefsíðu til að líta á samþykki fyrir meðferð sem aflað. Úrskurður Evrópudómstólsins segir að samþykki verði að vera virkt og ótvírætt. Þetta þýðir að notandinn, til að samþykkja vafrakökur, verður að smella á borðann til að biðja um samþykki, að velja hvort leyfa eigi notkun á tæknilegum vafrakökum sem eru nauðsynlegar eða allar vafrakökur. Af þessum sökum, til dæmis, sérðu samþykkisborðann oftar og oftar, jafnvel þótt það sé síða sem þú heimsækir oft.

Það sem þeir sem brjóta GDPR eiga á hættu: refsiaðgerðirnar

GDPR veitir einnig refsiaðgerðir frekar þungt komi til þess að vinnsla gagna hjá fyrirtæki sé ekki í samræmi við ákvæði þar eða sé í vanskilum á samskiptasviði.

Viðurlög eru tvenns konar, allt eftir því hversu alvarlegt brotið er. Fyrir minniháttar brot (svo sem skort á gagnavinnsluskrá, vanrækslu á að skipa ábyrgðaraðila, vanræksla á að tilkynna gagnabrot) kemur refsingin allt að 10 milljónir evra eða 2% af heimsveltu ef hærri en þessi tala. Fyrir alvarleg brot (eins og skort á samþykki til meðferðar, brot á réttindum hagsmunaaðila, vantar eða óviðeigandi persónuverndarupplýsingar og brot á ákvæðum um gagnaflutning) er sektin allt að 20 milljónir evra eða 4% af veltu í heiminum.

Sem dæmi má nefna að Alphabet, eignarhaldsfélagið sem stjórnar Google og öllum fyrirtækjum á sporbraut Mountain View risans, veltir 46 milljörðum dollara á ári og gæti, ef um alvarlegt brot er að ræða, neyðst til að greiða allt að 1,9. milljarða dollara sekt.

GDPR refsiaðgerðir: H&M málið

Umsjón gagna og vernd þeirra varðar hins vegar ekki aðeins viðskiptavini og notendur síðunnar. Einnig þarf að afla, vinna og varðveita gögn starfsmanna með vísan til ákvæða almennrar gagnavinnslureglugerðar. Eitt dæmi er H&M, sektað um 35 milljónir evra vegna þess að upp komst um ólöglega uppsetningu á starfsmönnum sínum. Gagnabrot hefur í raun leitt í ljós raunverulegt tilfelli um innri njósnir: að minnsta kosti síðan 2014 hefur H&M tekið upp gögn, upplýsingar og samtöl starfsmanna sinna, geymt allt (án heimildar) á einkaþjónum.

Sérstaklega ífarandi prófílvirkni, sem augljóslega hafði neikvæð áhrif á samstarf sænska tískurisans og starfsmanna hans. Persónuverndaryfirvöld í Hamborg sektuðu því H&M að fjárhæð 35,3 milljónir evra. Fyrir sitt leyti bað fyrirtækið starfsmenn sem tóku þátt í hneykslismálinu afsökunar, og breytti embættinu á róttækan hátt.

Viðurlög sem einnig þjónar sem viðvörun fyrir öll önnur fyrirtæki: ríkisyfirvöld (í þessu tilviki þýska, en refsiaðgerðirnar eru þær sömu í öllu Evrópusambandinu og varða einnig fyrirtæki með aðsetur utan landamæra ESB) leyfa ekki gögn brot eða gagnavinnsla sem er ekki í samræmi við ákvæði GDPR. Sá sem er tekinn við að fremja glæp mun borga mikið fyrir hegðun sína.