Titel | Regulering af Europa-Parlamentets og Rådets om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og om ophævelse af direktiv 95/46 / EF |
---|---|
Reference | 2016/679 |
International organisation | europæiske Union |
Anvendelsesområde | EU-medlemsstater |
Type | Den Europæiske Unions forordning |
Tilsluttet | EU-lovgivning , IT-lovgivning |
Adoption | 14. april 2016 |
---|---|
Promulgation | 27. april 2016 |
Ikrafttræden | 24. maj 2016 og gældende fra 25. maj 2018 |
Læs online
Generel databeskyttelsesforordning (om Eur-lex)
Den EU-forordning 2016/679 af Europa-Parlamentet og Rådet for27. april 2016om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne data og om ophævelse af direktiv 95/46 / EF kendt som den generelle databeskyttelsesforordning ( RGPD eller endog GDPR fra den engelske generelle databeskyttelse forordning ), er en regulering i den Europæiske Union , der er referencerammen tekst for beskyttelse af personlige oplysninger . Det styrker og forener databeskyttelse for enkeltpersoner inden for Den Europæiske Union .
Efter fire års lovgivningsforhandlinger blev denne forordning endeligt vedtaget af Europa-Parlamentet den27. april 2016. Dets bestemmelser finder direkte anvendelse i alle 27 medlemsstater i Den Europæiske Union pr25. maj 2018.
Denne forordning erstatter direktivet om beskyttelse af personoplysninger 95/46 / EF vedtaget i 1995.
Hovedmålene med GDPR er at øge både beskyttelsen af de personer, der er berørt af behandlingen af deres personoplysninger, og bemyndigelsen af dem, der er involveret i denne behandling. Disse principper kan anvendes takket være den øgede tilsynsmyndigheders magt.
I januar 2012 , at Europa-Kommissionen foreslået en omfattende reform af personlige databeskyttelsesregler i EU . Denne reform har to komponenter:
Målet med denne nye forordning er "at give borgerne tilbage kontrol over deres personlige data og samtidig forenkle det lovgivningsmæssige miljø for virksomheder" .
Europa-Parlamentet ændrede denne forordning og vedtog den den 12. marts 2014i en st læsning. Forhandlingerne fortsatte mellem delegationerne fra Europa-Kommissionen, Europa-Parlamentet og Rådet for Den Europæiske Union og sluttede den15. december 2015. Udkastet til forordning blev stemt i Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) den17. december 2015. Frankrig gennemførte forordningen i en lov, der blev vedtaget den14. maj 2018
Den europæiske forordning blev offentliggjort den 4. maj 2016i Den Europæiske Unions Tidende og træder i kraft på den tyvendedag efter offentliggørelsen.
Denne forordning, der gælder fra 25. maj 2018, er "bindende i sin helhed og gælder umiddelbart i alle medlemsstater" . Den Facebook-Cambridge Analytica skandalen omkring tyveri, så den manipulerende analyse og genbrug af personoplysninger, til valg formål, i USA og Storbritannien, brød ud kort før dets gennemførelse. Vi vil også se eksistensen af virksomheder som Aggregate IQ (canadisk søsterselskab fra Cambridge Analytica , oprettet af det samme moderselskab), der bruger big data (inklusive personlige data, der ulovligt er erhvervet på Facebook- konti for 87 millioner internetbrugere) til at producere vildledende og målrettede valgbeskeder, der forhindrer vælgernes frie vilje i at udøves
I januar 2020En lov om databeskyttelse RGPD inspireret af California Consumer Privacy Act (in) , der træder i kraft i Californien.
Reglerne indeholder bekræftelser eller ændringer med nøgleprincipper, såsom:
Nøgleprincip og artikel | Beskrivelse |
---|---|
Den harmoniserede ramme | Der er nu et enkelt sæt databeskyttelsesregler, der gælder direkte i alle Den Europæiske Unions medlemsstater, hvilket mildner den nuværende fragmentering af de nationale databeskyttelseslove. |
Ekstra-territorial anvendelse (artikel 3) | Forordningen er en del af de lovbestemmelser, der drager fordel af ekstraterritorialiteten i europæisk ret . Det gælder for virksomheder, der er etableret uden for EU, og som behandler data vedrørende EU-organisationers aktiviteter. Ikke-europæiske virksomheder er også underlagt forordningen, så snart de retter sig mod EU-beboere gennem profilering eller tilbyder varer og tjenester til europæiske beboere. |
"Eksplicit" og "positivt" samtykke | Virksomheder og organisationer skal give borgerne mere kontrol over deres private data, især ved at acceptere cookies på websteder og kontrollere brugen af de data, som internetbrugere sender i kontaktformularer. For eksempel er det ikke længere muligt at afkrydse feltet "Jeg accepterer at modtage nyhedsbrevet", når der sendes en kontaktformular, hvor e-mailen indtastes. |
Retten til sletning (let version af retten til at blive glemt ) (artikel 17) | Den registrerede har ret til fra den registeransvarlige at få sletning af personoplysninger, der vedrører ham hurtigst muligt, og den registeransvarlige har pligt til at slette disse personoplysninger så hurtigt som muligt af 6 grunde. en "absolut" ret . |
Retten til overførsel af personoplysninger (artikel 20) | Registrerede har ret til at modtage de personoplysninger om dem, som de har leveret til en controller, i et struktureret, almindeligt anvendt og maskinlæsbart format og har ret til at overføre disse data til en anden controller. Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har han eller hun ret til at indhente, at personoplysningerne overføres direkte fra en dataansvarlig til en anden, hvor dette er teknisk muligt.
Denne ret kan kun finde anvendelse, hvis det juridiske grundlag for behandlingen (artikel 6 i GDPR) er samtykke eller kontrakt. |
Profilering (artikel 22) | Enhver har ret til ikke at være genstand for en beslutning, der udelukkende er baseret på automatiseret behandling, herunder profilering, frembringelse af juridiske virkninger for dem eller væsentlig påvirkning af dem på en lignende måde. Der er dog visse udelukkelser, for eksempel hvis beslutningen er nødvendig for indgåelse eller gennemførelse af en kontrakt mellem den registrerede og den registeransvarlige. |
Principperne for "databeskyttelse ved design" og "sikkerhed som standard" (artikel 25) | Den europæiske forordning definerer princippet om " databeskyttelse ved design " (på engelsk : Privacy by design ), som kræver, at organisationer tager hensyn til krav vedrørende beskyttelse af personoplysninger fra design af produkter, tjenester og operativsystemers personlige data. Derudover indeholder forordningen den nye regel om "sikkerhed som standard", som kræver, at enhver organisation har et sikkert informationssystem. |
Underretninger i tilfælde af databrud (artikel 33) | I tilfælde af risiko for registrerede er virksomheder og organisationer forpligtet til at underrette den nationale beskyttelsesmyndighed hurtigst muligt i tilfælde af databrud. Når et brud på personoplysninger sandsynligvis skaber en høj risiko for de registreredes rettigheder og friheder, skal de også informeres. |
Virksomhedens forpligtelse i tilfælde af cyberangreb | Virksomheder er forpligtet til at rapportere til en kompetent myndighed og til de berørte personer om hacking af personoplysninger inden for en maksimal periode på 72 timer fra Maj 2018. |
Muligheden for at udnævne en databeskyttelsesofficer (artikel 37-1) | Denne betegnelse er obligatorisk, når:
|
Databeskyttelsesofficerens missioner | Databeskyttelsesofficeren skal være involveret i alle spørgsmål vedrørende beskyttelse af personoplysninger. Dets vigtigste opgaver er at overvåge overholdelsen af reglerne, at rådgive den dataansvarlige om dens anvendelse og at fungere som et kontaktpunkt med tilsynsmyndigheden og svare på anmodninger fra personer, der ønsker at udøve deres rettigheder. |
Undersøgelse af privatlivets fred (artikel 35) | Alle aktiviteter, der kan have betydelige konsekvenser med hensyn til beskyttelse af personoplysninger, skal indledes med en undersøgelse af privatlivets fred, som også skal indeholde foranstaltninger til at reducere de mulige konsekvenser af potentiel skade i forbindelse med beskyttelsen af personoplysninger. Den dataansvarlige skal høre tilsynsmyndigheden inden behandlingen, når en konsekvensanalyse af databeskyttelse, der er udført i henhold til artikel 35, indikerer, at behandlingen vil udgøre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at mindske risikoen. |
Styrk virksomheder | Ansvarsprincippet kommer også frem. Dets mål er at give virksomheder mulighed for ikke længere at kontakte en tilsynsmyndighed for at anmode om tilladelse til at behandle personoplysninger. Til gengæld skal de til enhver tid være i stand til at bevise, at de overholder reglerne. |
Mere alvorlige sanktioner (artikel 83-6) | Forordningen giver tilsynsmyndighederne beføjelse til at pålægge økonomiske sanktioner på op til 4% af en virksomheds årlige verdensomspændende omsætning eller € 20 millioner (alt efter hvad der er størst) i tilfælde af manglende overholdelse. - respekt. |
Oprettelse af Det Europæiske Databeskyttelsesråd (artikel 68 ff.) | Oprettelse af Den Europæiske Databeskyttelseskomité (reinkarnation af den gamle artikel G29), som har myndighed i alle spørgsmål vedrørende fortolkningen af forordningen. |
Udvikling af adfærdskodekser (artikel 40) og certificeringer (artikel 42) | Det tilskyndes til udvikling af adfærdskodekser og certificeringer, der skal bidrage til en korrekt anvendelse af denne forordning. |
At være en europæisk forordning , den RGPD er obligatorisk og gælder umiddelbart for alle medlemslandene i Den Europæiske Union . Det er ikke nødvendigt at gennemføre denne forordning i national lov for at gøre den gældende. Det Europæiske Databeskyttelsesråd (EDPS) blev oprettet for at koordinere de nationale tilsynsmyndigheders handlinger i hvert europæisk land og for at sikre beskyttelsen af personoplysninger.
Forordningen indeholdt imidlertid en henvisning til den nationale forordning om en række elementer, og visse nationale bestemmelser var i strid med de nye standarder i forordningen. I Frankrigs tilfælde har sidstnævnte tilpasset national lovgivning i overensstemmelse med GDPR ved loven om20. juni 2018vedrørende beskyttelse af personoplysninger. Denne bestemmelse har til formål at modernisere fransk lov, som delvis stred mod visse artikler i GDPR. Derudover giver denne lov, taget eksemplet med Frankrig, Den Nationale Kommission for Informatik og Friheder (CNIL) yderligere missioner og en kontrolmagt og øget sanktion med hensyn til databeskyttelse.
Organisationer skal være i stand til at garantere og bevise deres overholdelse af personlige oplysninger. For at vejlede dem rådgiver Den Nationale Kommission for Informatik og Friheder (CNIL), den franske digitale overvågningsmyndighed, seks trin for at stå over for dette øgede ansvar:
Trin | Detalje |
---|---|
Trin 1: Udnævn en databeskyttelsesofficer | At have en pilot er afgørende for at administrere de personlige data, der indsamles af et firma. Dette er ansvarlig for information, rådgivning og intern kontrol. |
Trin 2: Identificer databehandling | Et register til behandling af personoplysninger er en dokumentation, der gør det muligt at gøre status over reguleringens virkning. |
Trin 3: Definer korrigerende handlinger | For at overholde reglerne om personlige rettigheder og friheder er det nødvendigt at afgøre, hvilke prioriterede handlinger der skal gennemføres. Prioritering bestemmes i henhold til risikoniveauet og takket være behandlingsregistret. |
Trin 4: Analyser risiciene | Risici, der kan have konsekvenser for datasikkerhed, skal styres så effektivt som muligt. |
Trin 5: Etabler interne procedurer | Interne procedurer sikrer beskyttelse af personlige data til enhver tid. Det er her nødvendigt at foregribe de mulige begivenheder, der kan påvirke de igangværende behandlinger. |
Trin 6: Vedligehold dokumentation | Dokumentation bruges til at retfærdiggøre en virksomheds overholdelse af reglerne. Det er også vigtigt ofte at gennemgå og justere handlinger og dokumenter for at sikre varig databeskyttelse. |
En undersøgelse foretaget af Harvey Nash og KPMG viser, at globale virksomheder ikke prioriterer overholdelse af GDPR. Ifølge undersøgelsen indrømmer 38% af globale virksomheder, der reagerede, at det er usandsynligt, at de vil overholde alle bestemmelserne i GDPR inden dens ikrafttrædelsesdato25. maj 2018, selvom de havde to år til at forberede sig på det. Investeringer fra globale virksomheder er mere rettet mod cybersikkerhed på grund af en stigning i cyberangreb . På den anden side har overholdelse af RGPD en tendens til at komplicere over for mangel på kvalificeret personale inden for big data ( big data ).
Manglende overholdelse af lovenEn undersøgelse foretaget af fem akademikere af de mest udbredte samlingssamlingsplatforme (CMP'er) fra Storbritanniens 10.000 mest besøgte websteder viser, at ni ud af ti ikke engang opfylder minimumskravene i den juridiske ramme (l (forpligtelse til udtrykkeligt samtykke, muligheden for at nægte cookies lige så let som at acceptere dem og fraværet af foruddefinerede felter). Valget af disse værktøjers design har indflydelse på internetbrugernes beslutninger: ved ikke at vise en "Afvis alle" -knappen på samme niveau som "Accepter alle" (ofte ved at kræve at klikke på et andet eller endda et tredje vindue), sandsynligheden for at opnå deres samtykke øges således med næsten en fjerdedel.
Stigning i antallet af klagerEnkeltpersoner er opmærksomme på deres nye rettigheder, hvilket resulterer i en stigning i antallet af klager efter ikrafttrædelsen af GDPR. Hovedområdet for klagen er samtykke til behandling af personoplysninger. Den Quadrature du Net forening, der er en forening for forsvaret af borgernes frihedsrettigheder på internettet, har indgivet en kollektiv klage over GAFAM . Ligeledes indgav NGO'en ingen af din virksomhed (NOYB) også en klage mod spillere, der dominerer det sociale mediemarked som Instagram og WhatsApp pr.25. maj 2018 for at "kræve gratis samtykke til at afvise ideen om handelsvare af vores personlige data".
Websteder, der er utilgængelige for Den Europæiske Unions IP-adresserFlere måneder efter GDPR's ikrafttræden forbliver nogle websteder bevidst utilgængelige for IP-adresser fra Den Europæiske Union; dette er tilfældet for tusind amerikanske nyhedswebsteder og ca. en tredjedel af de største hundrede af dem. Ansvaret for denne blokering ligger hos webstederne i henhold til nogle eller europæiske regler ifølge andre. Dette er tilfældet for de engelsksprogede aviser fra Tronc-pressegruppen ( Chicago Tribune , Los Angeles Times osv.) (USA) og det fransksprogede websted for Journal de Montréal (Canada).
To tredjedele af de top 100 amerikanske nyhedssider er tilgængelige og hævder at være GDPR-kompatible. Nogle websteder som Forbes går endda ud over forpligtelsen til at fravælge personalisering af reklame ( opt-out ) og som standard deaktivere tilpasning af reklamer, så det er læseren at vælge ( opt-in ) .
I tilfælde af manglende overholdelse af GDPR kan der anvendes flere sanktioner over for virksomheder. Artikel 58 i RGPD giver CNIL beføjelse til at indføre afskrækkende midler for at bekæmpe manglende overensstemmelse med henvisning til bestemmelserne i RGPD.
De sanktioner, der pålægges af CNIL , siges at være gradvise, fordi de vil afhænge af alvorligheden af de observerede handlinger, og som er i strid med GDPR. Disse sanktioner er etableret i flere faser:
Hvis virksomheder eller private organisationer overtræder en af de nye standarder i forordningen, indeholder GDPR bestemmelser om administrative og strafferetlige sanktioner. Disse sanktioner har frem for alt et afskrækkende formål på grund af deres meget høje beløb. Analysen af overtrædelsens art, varighed og grovhed gør det muligt at kvalificere den administrative sanktion, der finder anvendelse.
Artikel 83 i GDPR angiver de betingelser, der gør det muligt for CNIL at anvende en administrativ sanktion over for virksomheder eller organisationer, der har overtrådt en af reglerne i forordningen. CNIL skal sikre, at de bøder, der pålægges, er " effektive, forholdsmæssige og afskrækkende ".
En af de første administrative bøder kan nå op til € 10.000.000 eller for en virksomhed, op til 2 % af den samlede verdensomspændende årlige omsætning for det foregående regnskabsår. Det tilbageholdte beløb vedrører altid størrelsen af den højeste straf. Denne administrative bøde anvendes, når overtrædelserne af GDPR-forpligtelserne er af følgende art:
I tilfælde af en større lovovertrædelse relateret til manglende overholdelse af GDPR, kan den administrative bøde, der kan anvendes, nå op til € 20.000.000, eller i tilfælde af en virksomhed svarer bøden til 4 % af tallet globale forretning ( det største beløb bevares også). Overtrædelserne skal vedrøre følgende bestemmelser i artikel 83 i GDPR (stk. 5):
Den første bøde vedrører et portugisisk hospital, der har fået en bøde på 400.000 euro for sin politik for adgang til patienters personlige oplysninger. Hospitalet ville krænke principperne om dataintegritet og fortrolighed og princippet om at begrænse dataadgang i GDPR, da tilladelser til at få adgang til medicinske filer blev givet til flere mennesker, end der er personale.
Et tysk socialt netværk Knuddels er af den tyske databeskyttelsesmyndighed (Baden-Württemberg Data Protection Authority) idømt en bøde på 20.000 euro efter en lækage på mere end 2,6 millioner data fra sine brugere. Bødens størrelse var begrænset på grund af gennemsigtigheden i det sociale netværk og dets hastighed til at opdatere sikkerheden på det sociale netværk.
Generelt bemærker vi dog på europæisk plan, at forbrugerne kun rapporterer et meget begrænset antal klager til databeskyttelsesmyndighederne. En undersøgelse offentliggjort iNovember 2019 anslår den gennemsnitlige antal klager i 24 lande i Den Europæiske Union til 3 pr. 10.000. I Slovakiet er klageprocenten kun 0,17 pr. 10.000, mens den når 8,6 i Irland.
I henhold til artikel 84 i GDPR kan medlemsstaterne indføre strafferetlige sanktioner for at supplere GDPR. Hver stat havde indtil25. maj 2018, at underrette Kommissionen om de lovbestemmelser, de vil anvende.
I Frankrig kan de gældende straffesanktioner i henhold til artikel 226-16 i straffeloven nå en bøde på op til € 300.000 og føre til op til 5 års fængsel.
Andre yderligere sanktioner kan anvendes på administrative og strafferetlige sanktioner i tilfælde af en overtrædelse af en af bestemmelserne i GDPR. Faktisk har enhver person, der er skadet af de ansvarlige, såvel som behandlingen af data, der ikke overholder GDPR, muligheden for at sagsøge organisationen med skyld. Denne juridiske handling kan resultere i betaling af erstatning.
Derudover kan manglende overholdelse af GDPR påvirke image og omdømme hos krænkende virksomheder eller organisationer.
Implementeringen af de generelle regler om databeskyttelse har forårsaget en omvæltning i mange virksomheder, primært store virksomheder, der arbejder direkte eller indirekte i den givne sektor . Uanset om det er GAFAM , virksomheder i reklamebranchen, hvor brugen af personoplysninger er en væsentlig del af deres arbejde, den offentlige sektor eller endda SMV'er, der skal administrere deres medarbejderes personoplysninger. Hvis nogle virksomheder som Apple siger, at de er enige i GDPR (implementering af en blå knap, der viser brugeren, når Apple bruger deres data, såvel som "slet mine personlige data / slet min konto" muligheder på deres websted online), kan andre lide det Facebook kunne modtage store bøder på grund af åbenlyse mangler i beskyttelsen af deres brugeres data.
Desuden er forordningen på visse punkter, såsom verifikation af identiteten af en bruger, der har glemt sine identifikatorer af en leverandør, ikke præcis, hvilket resulterer i utilstrækkelig verifikation, hvilket letter hacking eller omvendt dataanmodninger. Mere følsom (pas kopi , for eksempel) end dem, der holdes.
Andre aktører, såsom EU Blockchain Observatory og Forum, har rejst visse modsætninger mellem GDPR og blockchains , distribuerede databaseteknologier, der oftest er baseret på flere aktører. Faktisk indebærer disse teknologier generelt, at de data, der er optaget på disse kanaler, ikke kan ændres efterfølgende med henblik på forfalskning og gennemsigtighed, hvilket kun tillader tilføjelse af data. Ved første øjekast strider dette mod retten til at blive glemt nævnt i GDPR, hvilket på forhånd kræver en ret til sletning af personoplysninger. Strategier som f.eks. Registrering af krypterede data i kædens register og derefter ødelæggelsen af nøglen, der tillader deres dekryptering, kan svare på retten til at blive glemt som forudsat i RGPD, for eksempel har CNIL foreslået, at 'en sådan strategi kunne være en løsning. Andre spørgsmål forbliver ubesvarede, såsom identifikation af aktører som defineret af GDPR i forbindelse med en offentlig blockchain, hvor deltagelse i netværket er åben og ikke kræver tilladelse.
Globalt ser forfattere GDPR som et tab af konkurrenceevne for europæiske virksomheder. Faktisk skal de investere meget i beskyttelsen af personoplysninger, mens der ikke findes nogen lignende regulering I lande som USA. En amerikansk advokat og lobbyist kvalificerer for eksempel endog GDPR som en "strategisk fejl" i betragtning af at big data , hvor massiv brug af data, bliver afgørende for innovation, og at EU indfører en databeskyttelsesforordning personlig for at reducere brugen af disse.