Stan RODO w 2021 r.: Kluczowe aktualizacje i ich znaczenie

Opublikowany: 2022-03-10
Krótkie podsumowanie ↬ Jako praktykujący cyfrowo, RODO wpłynęło na każdy aspekt naszego życia zawodowego i osobistego. Niezależnie od tego, czy jesteś uzależniony od Instagrama, wysyłasz wiadomości do rodziny na WhatsApp, kupujesz produkty z Etsy czy informacje Google, nikt nie uniknął zasad wprowadzonych w 2018 roku.

Dyrektywy UE mają wpływ na praktycznie każdego cyfrowego profesjonalistę, ponieważ produkty i usługi są projektowane z myślą o RODO, niezależnie od tego, czy jesteś firmą zajmującą się projektowaniem stron internetowych w stanie Wisconsin, czy marketerem na Malcie. Daleko idące konsekwencje RODO mają wpływ nie tylko na sposób przetwarzania danych, sposób tworzenia produktów i bezpieczne przesyłanie danych w ramach organizacji i między nimi. Określa międzynarodowe umowy dotyczące przesyłania danych, takie jak ta między Europą a Ameryką.

Kevin Kelly, jeden z najzdolniejszych cyfrowych futurystów na świecie, twierdzi, że „Technologia jest siłą równie wielką jak natura”. Ma na myśli to, że dane użytkowników i technologia informacyjna powodują jeden z najgłębszych okresów w historii ludzkości od czasu wynalezienia języka. Wystarczy spojrzeć na to, co się dzieje, gdy rządy i międzynarodowe koncerny technologiczne zmagają się z kontrolą Internetu.

Tylko w zeszłym tygodniu, kiedy rząd australijski zmusił właścicieli platform do płacenia wydawcom za treści udostępniane na ich platformie, Facebook zdecydował się zablokować wiadomości dla australijskich użytkowników z ogromnym oburzeniem ze strony rządu australijskiego.

I to w dodatku do poprzednich kontrowersji (organizacja zamieszek na Kapitolu, skandal z Cambridge Analytica) na skrzyżowaniu, na którym spotykają się rząd i technologia.

W tym artykule przyjrzymy się, jak RODO ewoluowało od 2018 r. Przyjrzymy się niektórym aktualizacjom z UE, niektórym kluczowym zmianom i tym, gdzie prawdopodobnie będzie ewoluować RODO. Zbadamy, co to oznacza dla nas jako projektantów i programistów. Przyjrzymy się, co to oznacza dla firm zarówno w UE, jak i poza nią.

W następnym artykule skupimy się na zgodzie na pliki cookie i paradoksie, w którym marketerzy są w dużym stopniu uzależnieni od danych z plików cookie Google Analytics, ale muszą przestrzegać przepisów. Następnie przyjrzymy się bliżej śledzeniu reklam własnych, gdy zaczniemy dostrzegać odchodzenie od plików cookie innych firm.

  • Część 1: RODO, kluczowe aktualizacje i ich znaczenie
  • Część 2: Zgoda na pliki cookie dla projektantów i programistów

Szybkie podsumowanie RODO

Zacznijmy od przypomnienia sobie, czym jest RODO. RODO weszło w życie w UE 25 maja 2018 roku. Opiera się na 7 kluczowych zasadach:

  1. Zgodność z prawem, uczciwość i przejrzystość
    Musisz przetwarzać dane, aby ludzie wiedzieli, co, jak i dlaczego przetwarzasz ich dane.
  2. Ograniczenie celu
    Dane należy zbierać wyłącznie w jasnych, określonych i zgodnych z prawem celach. Nie możesz wtedy przetwarzać ich w sposób niezgodny z twoimi pierwotnymi celami.
  3. Minimalizacja danych
    Powinieneś zbierać tylko te dane, których potrzebujesz.
  4. Precyzja
    Twoje dane muszą być dokładne i aktualne. Nieścisłe dane należy usunąć lub poprawić.
  5. Ograniczenie przechowywania
    Jeśli dane można powiązać z osobami, możesz je przechowywać tylko tak długo, jak jest to konieczne do realizacji określonych celów. (Ostrzeżenia dotyczące badań naukowych, statystycznych lub historycznych.)
  6. Integralność i poufność (tj. bezpieczeństwo)
    Musisz upewnić się, że Twoje dane osobowe są przetwarzane w bezpieczny sposób. Musisz chronić je przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem.
  7. Odpowiedzialność
    Jesteś teraz odpowiedzialny za posiadane dane i powinieneś być w stanie wykazać, że przestrzegasz RODO.
Schemat przedstawiający siedem zasad RODO: zgodność z prawem, integralność, ograniczenia przechowywania i celu, minimalizacja i dokładność danych oraz odpowiedzialność – pokryta przejrzystością, prywatnością i kontrolą
Zasady RODO opierają się na przejrzystości, prywatności i kontroli użytkowników. (Źródło zdjęcia: Cyber-Duck) (duży podgląd)

Niektóre definicje

  • TSUE
    Trybunał Sprawiedliwości Unii Europejskiej. Orzeczenia tego sądu wyjaśniają przepisy UE, takie jak RODO.
  • Organy ochrony danych
    Krajowe organy ochrony danych. Każdy kraj UE ma jeden. RODO jest egzekwowane, a kary nakładane przez te organy na szczeblu krajowym. Odpowiednikiem w Wielkiej Brytanii jest Biuro Komisarza ds. Informacji (ICO). W Stanach Zjednoczonych prywatność danych w stylu RODO jest w dużej mierze regulowana przez każdy stan.
  • Komisja Europejska
    Władza wykonawcza Unii Europejskiej (zasadniczo służba cywilna UE). Komisja Europejska opracowuje projekty aktów prawnych, w tym RODO.
  • RODO
    Ogólne rozporządzenie o ochronie danych z 2018 r.

Kluczowe aktualizacje z UE

RODO nie stoi w miejscu od maja 2018 r. Oto krótki przegląd tego, co się wydarzyło od czasu jego wejścia w życie.

Jak UE i jej państwa członkowskie wdrożyły RODO?

Komisja Europejska informuje, że RODO jest prawie w pełni wdrożone w całej UE, chociaż niektóre kraje – jak wskazuje Słowenia – zwlekają. Jednak głębokość wdrożenia jest różna. UE twierdzi również, że jej kraje członkowskie sprawiedliwie wykorzystują swoje nowe uprawnienia.

Wyraził jednak również zaniepokojenie, że wkradają się pewne rozbieżności i fragmentacja. RODO może skutecznie działać na jednolitym rynku UE tylko wtedy, gdy państwa członkowskie są do siebie dostosowane . Jeśli prawa się rozchodzą, woda jest brudna.

Jak UE chce rozwijać RODO?

Wiemy, że UE chce, aby osoby fizyczne mogły łatwiej egzekwować swoje prawa wynikające z RODO. Oznacza to współpracę transgraniczną i pozwy zbiorowe . Chce zapewnić możliwość przenoszenia danych dla konsumentów poza bankowością i telekomunikacją.

Chce również ułatwić małym i średnim przedsiębiorstwom ( MŚP ) przestrzeganie RODO. Prawdopodobnie przyjdą one w formie dodatkowego wsparcia i narzędzi, takich jak bardziej standardowe klauzule umowne — zasadniczo szablonowe pismo prawne, które MŚP mogą kopiować/wklejać do umów — ponieważ UE nie jest chętna do naginania dla nich zasad.

Wielki rozwój nr 1: Niespodziewanie szeroka definicja „wspólnego kontrolera”

Tak, oto pierwsza duża zmiana odkąd RODO stało się prawem. W dwóch testowych sprawach dotyczących Facebooka Trybunał Sprawiedliwości Unii Europejskiej zdefiniował znacznie szerszą niż oczekiwano interpretację pojęcia „wspólny administrator”.

Sytuacja współadministratora ma miejsce, gdy dwóch lub więcej administratorów odpowiada za spełnienie warunków RODO. (Oto dobre wyjaśnienie z ICO na temat współkontrolerów.) Zasadniczo:

  • Kiedy przetwarzasz dane klientów, wraz z innymi współadministratorami decydujesz, kto będzie zarządzał każdym krokiem, aby zachować zgodność z RODO.
  • Jednak wszyscy ponosicie pełną odpowiedzialność za zapewnienie zgodności całego procesu . Każdy z Was ponosi pełną odpowiedzialność przed organem ochrony danych w kraju rozpatrującym wszelkie skargi.
  • Osoba fizyczna może wnieść skargę na każdego współadministratora.
  • Wszyscy ponosicie odpowiedzialność za wszelkie wyrządzone szkody — chyba że możecie udowodnić, że nie macie związku ze zdarzeniem, które spowodowało szkodę.
  • Osoba fizyczna może dochodzić odszkodowania od dowolnego współadministratora. Możesz odzyskać część tego odszkodowania od innych kontrolerów.

W pierwszej sprawie dotyczącej Facebooka TSUE potwierdził, że firma, która prowadziła fanpage na Facebooku, była obok Facebooka współadministratorem. W drugim TSUE potwierdził również, że firma, która umieściła na swojej stronie internetowej przycisk „Lubię to” Facebooka, ma status współadministratora z portalem społecznościowym.

Przypadki te wywołały falę uderzeniową w społeczności zajmującej się prywatnością, ponieważ zasadniczo sprawiają, że wydawcy społecznościowi, operatorzy witryn internetowych i moderatorzy fanpage są odpowiedzialni za dane użytkowników obok platform takich jak Facebook.

TSUE wyjaśnił jednak również, że współodpowiedzialność nie oznacza równej odpowiedzialności . W obu przypadkach odpowiedzialność spoczywała przede wszystkim na Facebooku — tylko Facebook miał dostęp do danych i tylko Facebook mógł je usunąć. Tak więc wpływ tej decyzji może być mniej dotkliwy, niż się początkowo wydaje – ale nadal jest krytycznie ważny.

I może to być powód, dla którego niektóre witryny — takie jak strona przewodnia Niemiec w UE 2020 — domyślnie blokują osadzone treści społecznościowe, dopóki nie wyrazisz na to wyraźnej zgody:

Zrzut ekranu eu2020.de pokazujący zablokowane treści z kanałów społecznościowych do momentu włączenia śledzenia przez osoby trzecie
Niektóre witryny zaczynają domyślnie blokować umieszczanie osadzonych kanałów społecznościowych w swoich witrynach, oferując użytkownikom możliwość wyrażenia zgody na śledzenie. (duży podgląd)

Wielki rozwój nr 2: Żegnaj Tarcza Prywatności, witaj CPRA

Druga duża zmiana była bardziej przewidywalna: Tarcza Prywatności , mechanizm, który ułatwił amerykańskim firmom przetwarzanie danych klientów europejskich, został obalony przez sądy.

Dlatego.

UE chce chronić dane osobowe swoich obywateli. Chce jednak również wspierać handel międzynarodowy oraz współpracę transgraniczną w obszarach takich jak bezpieczeństwo.

UE postrzega siebie – całkiem słusznie – jako pioniera w dziedzinie ochrony danych. Wykorzystuje więc swoją siłę polityczną, aby zachęcić kraje, które chcą handlować z blokiem, do dostosowania się do standardów prywatności danych.

Wejdź do Stanów Zjednoczonych. Europejskie i amerykańskie filozofie dotyczące prywatności danych są diametralnie przeciwstawne . (W istocie europejski pogląd jest taki, że dane osobowe są prywatne, chyba że wyrazisz na to wyraźną zgodę. Amerykańskie poglądy są takie, że Twoje dane są publiczne, chyba że wyraźnie poprosisz o ich prywatność). Ale jako dwa największe światowe rynki konsumenckie, muszą handel. Tak więc UE i USA opracowały Tarczę Prywatności.

Tarcza Prywatności została zaprojektowana, aby umożliwić firmom amerykańskim przetwarzanie danych obywateli UE, o ile firmy te przestrzegają jej wyższych standardów prywatności.

Ale zgodnie z prawem amerykańskim rząd USA może nadal monitorować te dane. Zostało to zakwestionowane w sprawie wniesionej przez austriackiego adwokata ds. prywatności Maxa Schremsa. TSUE stanął po jego stronie: Tarcza Prywatności została zerwana, a 5300 amerykańskich MŚP, które korzystały z Tarczy Prywatności, nie miały innego wyboru, jak tylko przyjąć zalecane przez UE standardowe klauzule umowne.

Oczywiście wymiana Tarczy Prywatności leży w interesie wszystkich — i tak będzie. Eksperci twierdzą jednak, że jego zastąpienie prawdopodobnie zostanie ponownie zniszczone w odpowiednim czasie, ponieważ europejskie i amerykańskie podejście do prywatności jest zasadniczo nie do pogodzenia.

Tymczasem w Kalifornii, zainspirowana RODO z 2018 r. ustawa California Consumer Privacy Act (CCPA) została wzmocniona w listopadzie 2020 r., kiedy uchwalono California Privacy Rights Act (CPRA).

Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA)

CCPA, które weszło w życie w styczniu 2020 r., daje obywatelom Kalifornii prawo do rezygnacji ze sprzedaży ich danych . Mogą również poprosić o ujawnienie wszelkich zebranych danych i mogą poprosić o ich usunięcie. W przeciwieństwie do RODO, CCPA dotyczy wyłącznie spółek handlowych:

  • Kto przetwarza dane ponad 50 000 mieszkańców Kalifornii rocznie, LUB
  • Którzy generują przychód brutto przekraczający 25 milionów dolarów rocznie, LUB
  • Którzy ponad połowę swoich rocznych przychodów uzyskują ze sprzedaży danych osobowych mieszkańców Kalifornii

Kalifornijska ustawa o prawach prywatności (CPRA)

Ustawa CPRA, która wejdzie w życie w styczniu 2023 r., wykracza poza CCPA . Jego kluczowe punkty to:

  • Podnosi poprzeczkę firmom, które rocznie przetwarzają dane 100 000 mieszkańców Kalifornii
  • Zapewnia większą ochronę wrażliwych danych Kalifornijczyków , takich jak rasa, religia, orientacja seksualna oraz dane dotyczące zdrowia i legitymacji państwowej
  • Potraja kary za naruszenie danych małoletnich
  • Daje Kalifornijczykom prawo do żądania poprawienia swoich danych
  • Zobowiązuje firmy do pomocy w dochodzeniach CPRA
  • I ustanawia Kalifornijską Agencję Ochrony Prywatności w celu egzekwowania CPRA
Graficzne podsumowanie CPRA
Kalifornia zaostrza swoje przepisy dotyczące prywatności z CPRA, w 2023 r. (Duży podgląd)

Dalsze naciski na przepisy dotyczące prywatności mają miejsce w innych stanach, a razem mogą one wzmocnić potrzebę federalnych środków ochrony prywatności w ramach nowej administracji Bidena.

Wielki rozwój nr 3: Zgoda na pliki cookie

W maju 2020 r. UE zaktualizowała swoje wytyczne dotyczące RODO, aby wyjaśnić kilka punktów, w tym dwa kluczowe punkty dotyczące zgody na pliki cookie:

  • Ściany z plikami cookie nie dają użytkownikom prawdziwego wyboru, ponieważ jeśli odrzucisz pliki cookie, dostęp do treści zostanie zablokowany. Potwierdza, że ​​nie należy stosować ścian cookie.
  • Przewijanie lub przewijanie treści internetowych nie jest równoznaczne z dorozumianą zgodą . UE powtarza, że ​​zgoda musi być wyraźna.

Zajmę się tym głębiej w drugim artykule w przyszłym tygodniu.

Powiadomienie o plikach cookie Cyber-Duck z domyślnie włączonym śledzeniem reklam
UE zaktualizowała swoje wytyczne dotyczące zgody na pliki cookie. (duży podgląd)

Wielki rozwój nr 4: Google i Apple zaczynają odchodzić od śledzenia stron trzecich

Gdy wielcy gracze cyfrowi zastanawiają się, jak sprostać RODO — i jak obrócić przepisy dotyczące prywatności na swoją korzyść — niektórzy już znaleźli się pod ostrzałem.

Zarówno Google, jak i Apple stoją w obliczu pozwów antymonopolowych , w związku ze skargami ze strony firm adtech i wydawców.

W obu przypadkach skarżący twierdzą, że duże firmy technologiczne wykorzystują swoją dominującą pozycję na rynku.

Znowu o tym następnym razem.

Więcej po skoku! Kontynuuj czytanie poniżej ↓

Wielki rozwój nr 5: W ten sposób zbliżają się duże grzywny związane z RODO

Oczywiście wiele organizacji podskoczyło do przestrzegania RODO, ponieważ obawiało się kar, które mogą nałożyć organy regulacyjne. Te grzywny zaczęły napływać:

Francuski organ nadzoru danych ukarał Google grzywną w wysokości 50 milionów euro za „brak przejrzystości, nieodpowiednie informacje i brak ważnej zgody na personalizację reklam”, mówiąc, że użytkownicy „nie byli wystarczająco poinformowani” o tym, jak i dlaczego Google zebrał ich dane.

Jego brytyjski odpowiednik, ICO, nałożył grzywnę w wysokości 18,4 miliona funtów na amerykański konglomerat hotelowy Marriott International Inc. za niezachowanie bezpieczeństwa 339 milionów danych gości. Cyberatak z 2014 roku na Starwood Hotels and Resorts Worldwide, Inc., który Marriott nabył w 2016 roku, został odkryty dopiero w 2018 roku.

Brytyjskie ICO nałożyło również grzywnę na British Airways w wysokości 20 milionów funtów za naruszenie danych osobowych i kart kredytowych 400 000 klientów w 2018 roku.

Jest też mój osobisty faworyt, szokujące naruszenie zaufania pracowników przez H&M, które doprowadziło do nałożenia kary w wysokości 35 milionów euro.

Więc na tym stoimy dzisiaj.

Co to oznacza dla Ciebie?

Jako projektanci i programiści RODO ma — i nadal będzie mieć — duży wpływ na produkty, które projektujemy i budujemy, a także na sposób, w jaki projektujemy dane.

Oto, co my, jako projektanci, powinniśmy wiedzieć

  • RODO ma dla Ciebie kluczowe znaczenie, ponieważ zaprojektujesz punkty, w których użytkownicy udostępniają swoje dane , jakie dane są gromadzone i jak są przetwarzane.
  • Postępuj zgodnie z najlepszymi praktykami dotyczącymi prywatności według projektu. Nie próbuj wymyślać koła na nowo — jeśli stworzyłeś zgodny baner cookie, użyj sprawdzonego wzorca projektowego.
  • Współpracuj ze swoimi zespołami ds. zgodności i rozwoju, aby upewnić się, że projekty są zgodne z RODO i można je wdrożyć. Poproś tylko o te dane, których potrzebujesz.
  • Na koniec zapytaj użytkowników, jakie dane mogą swobodnie udostępniać i jak chcą, abyś z nich korzystał. Jeśli uznają to za przerażające, wróć do swojego podejścia.

Oto, co my, jako programiści, powinniśmy wiedzieć

  • RODO ma dla Ciebie kluczowe znaczenie, ponieważ umożliwiasz przetwarzanie, udostępnianie i integracje danych .
  • Zgodnie z ogólną zasadą RODO, zastosuj podejście polegające na konieczności uzyskania dostępu . Zacznij od wdrożenia wszystkiego bez dostępu, a następnie daj swojemu zespołowi dostęp do danych tylko wtedy, gdy jest to konieczne (np. dając programistom dostęp do konsoli Google Analytics). Audytuj i dokumentuj na bieżąco.
  • Przestrzegaj zasad ochrony prywatności według projektu i bezpieczeństwa według projektu. Kluczem są solidne, bezpieczne szablony wdrażania infrastruktury.
  • Upewnij się, że jesteś z góry zaangażowany w aspekty techniczne, np. zgodę na pliki cookie/rozmowy dotyczące śledzenia, aby można było wdrożyć podjęte decyzje.
  • Mapowanie procesów pokazuje, gdzie dane są udostępniane różnym działom firmy.
  • Automatyzacja zapewnia bezpieczną obsługę danych, która eliminuje błędy ludzkie. Pomaga również zapobiegać dostępowi do danych niewłaściwym osobom.
  • Listy kontrolne RODO i oczywiście księgi biegowe pomogą Ci zarządzać procesem. Ponownie kontroluj i dokumentuj w miarę postępów.

Zobaczmy teraz, jak RODO będzie ewoluować w najbliższej przyszłości. Skoncentrujemy się na trzech obszarach.

Trzy obszary, w których RODO szybko ewoluuje

1. Jak UE wdraża RODO

Najpierw zobaczmy, w jaki sposób RODO zostanie jeszcze bardziej osadzony w krajobrazie legislacyjnym.

UE chce, aby jej państwa członkowskie były zgodne , ponieważ ułatwi to procesy transgraniczne i współpracę międzynarodową. Tak więc wzmocniło to, że kraje nie powinny ani odchodzić od RODO, ani go przekraczać. Niektóre państwa członkowskie, jak powiedziałem, deklarują deklarację zgodności z rozporządzeniem. Inni chcą przekroczyć standardy RODO.

W zamian za ich dostosowanie UE będzie egzekwować zgodność , działać na rzecz umożliwienia pozwów zbiorowych i tańszych procesów transgranicznych, a także promować prywatność i spójne standardy poza UE. Oprócz dodatkowego wsparcia i narzędzi dla MŚP możemy również zobaczyć certyfikację bezpieczeństwa i ochrony danych w fazie projektowania.

Wreszcie, może to wzbudzić pewne wątpliwości w Dolinie Krzemowej: UE zasugerowała, że ​​może rozważyć wprowadzenie zakazów przetwarzania danych w celu zachęcenia do przestrzegania przepisów . Kary w wysokości 50 milionów euro to nie koniec świata dla Google i znajomych. Ale czas na niegrzeczny krok – i wynikający z tego zły PR – to zupełnie inna sprawa.

2. Jak RODO współpracuje z innowacjami

RODO zostało zaprojektowane tak, aby było neutralne pod względem technologicznym i wspierało, a nie utrudniało innowacje. Z pewnością zostało to przetestowane w ciągu ostatnich 12 miesięcy, a UE wskazuje na szybkie wprowadzenie aplikacji COVID-19 jako dowód na to, że jej przepisy działają.

Możemy spodziewać się kodeksów postępowania dla wrażliwych kategorii danych (zdrowie i badania naukowe). Będą one mile widziane.

Jednak bacznie obserwują innowatorów. UE wyraziła zaniepokojenie prywatnością danych w wideo, urządzeniach IoT i blockchain. Są szczególnie zaniepokojeni rozpoznawaniem twarzy (i prawdopodobnie głosu) i rozwojem sztucznej inteligencji.

Przede wszystkim Komisja jest głęboko zaniepokojona tym, co nazywa „wielonarodowymi przedsiębiorstwami technologicznymi”, „dużymi platformami cyfrowymi” oraz „reklamą internetową i mikrotargetowaniem”. Tak, po raz kolejny patrzy na Ciebie, Facebooka, Amazon, Google i znajomych.

3. Jak UE promuje standardy RODO poza UE?

Nasza gospodarka cyfrowa ma charakter globalny, więc skutki RODO wykraczają poza granice UE — i to nie tylko pod względem zgodności. UE wyznacza poprzeczkę dla przepisów o ochronie danych na całym świecie. Poza CCPA w Kalifornii, zobacz LGPD w Brazylii, a także wydarzenia w Kanadzie, Australii, Indiach i kilku stanach amerykańskich.

Oczywiście w interesie UE jest, aby inne kraje i bloki handlowe spełniały swoje standardy. Dlatego promuje RODO na kilka sposobów :

  • Poprzez „wspólne decyzje w sprawie adekwatności” z Japonią i wkrótce Koreą Południową
  • Osadzone w dwustronnych umowach handlowych np. z Nową Zelandią, Australią, Wielką Brytanią
  • Poprzez fora takie jak OECD, ASEAN, G7 i G20
  • Poprzez swoją Akademię Ochrony Danych dla unijnych i międzynarodowych regulatorów

Szczególnie zależy jej na wspieraniu innowacji poprzez zaufane przepływy danych oraz umożliwieniu międzynarodowej współpracy między organami ścigania a prywatnymi operatorami.

UE jest światowym liderem w dziedzinie ochrony danych. Tam, gdzie to pójdzie, podążą za nim inni. Więc nawet jeśli nie projektujesz / nie tworzysz dla odbiorców z UE, musisz być świadomy tego, co się dzieje.

Co to wszystko oznacza dla firm w UE?

Firmy działające w UE muszą przestrzegać RODO lub narażać się na karę grzywny. Jak widzieliśmy, grzywny mogą być dość wysokie. Musisz więc być w stanie wykazać, że przestrzegasz 7 zasad RODO oraz szczegółowych wytycznych krajowego organu ochrony danych.

Jednak nie jest to tak proste, jak się wydaje, i w niektórych przypadkach możesz zdecydować się na ocenę swojego ryzyka. Następnym razem przedstawię ci przykład.

Co to oznacza dla firm spoza UE?

Konsekwencje dla firm z siedzibą poza UE są dokładnie takie same, jak dla krajów UE , jeśli przetwarzają one dane osobowe z UE. Dzieje się tak, ponieważ RODO dotyczy danych osobowych osób mieszkających w UE. Jeśli chcesz go przetworzyć, np. sprzedać klientom w UE, musisz przestrzegać zasad. W przeciwnym razie ryzykujesz grzywną, jak Facebook i Google.

Oto, w jaki sposób jest to egzekwowane : jeśli jesteś obecny w UE, jak wiele międzynarodowych korporacji, i nie zapłacisz grzywny wynikającej z RODO, Twoje aktywa UE mogą zostać zajęte. Jeśli nie masz obecności, zgodnie z RODO jesteś zobowiązany do wyznaczenia przedstawiciela w UE. Wszelkie grzywny będą nakładane za pośrednictwem tego przedstawiciela. Alternatywnie możesz stanąć w obliczu skomplikowanego i kosztownego procesu międzynarodowego .

A oto, gdzie staje się to skomplikowane dla wszystkich:

Jeśli Twoja baza klientów obejmuje osoby z UE i obywateli innych miejsc, w których obowiązują przepisy dotyczące prywatności, takich jak stan Kalifornia, musisz przestrzegać zarówno kalifornijskiej Ustawy o Ochronie Prywatności Konsumentów (CCPA), jak i RODO. Te pakiety przepisów generalnie są do siebie dopasowane — ale nie do siebie pasują.

Weźmy na przykład ciasteczka. Zgodnie z RODO musisz uzyskać aktywną zgodę użytkownika przed umieszczeniem pliku cookie na jego urządzeniu, z wyjątkiem tych, które są ściśle potrzebne do działania Twojej witryny.

Jednak zgodnie z ustawą CCPA musisz ujawnić, jakie dane zbierasz, i umożliwić klientowi odmowę pozwolenia na sprzedaż jego danych. Ale nie muszą aktywnie zgadzać się, że możesz je odebrać.

Dlatego UE naciska na międzynarodowe standardy, aby uprościć globalną zgodność.

Uwaga : Jeśli przebywasz w Stanach Zjednoczonych i niecierpliwie oczekujesz zastąpienia Tarczy Prywatności, możesz zamiast tego wziąć kartkę z książki firmy Microsoft — oni i inni stwierdzili, że będą przestrzegać RODO, a nie polegać na jakichkolwiek dwustronnych mechanizmach, aby umożliwić przetwarzanie danych.

Jakie lekcje mogą wyciągnąć projektanci stron internetowych i programiści z RODO?

Regulacje dotyczące prywatności nie znikną i będą miały wpływ na wszystkie nasze priorytety i przepływy pracy. Oto sześć lekcji do zapamiętania podczas pracy z danymi klientów:

  1. Musieliśmy biec sprintem, aby zachować zgodność z RODO. Teraz to maraton.
    Wiemy, że RODO będzie ewoluować wraz z technologią, którą ma regulować. Oznacza to, że wymagania wobec nas nie pozostaną takie same. Nie tylko to, ale RODO zainspirowało podobne – ale nie identyczne – ustawodawstwo na całym świecie. Te wymogi prawne mają wciąż ewoluować.
  2. Compliance buduje przewagę konkurencyjną.
    Chociaż pierwsze poważne grzywny wynikające z RODO przykuwały uwagę, w rzeczywistości jest to negatywna reklama, która według wielu jest najbardziej szkodliwa. Kto czerpie korzyści z dużego wycieku danych? Konkurenci firmy. Z drugiej strony, jeśli zastosujesz zgodność z RODO podczas wzmacniania procesów projektowania i rozwoju, będziesz w stanie lepiej dostosować się do zmian przepisów.
  3. Zgodność z RODO i lepsze wyniki COVID-19 są połączone projektem zorientowanym na użytkownika.
    Wiemy, że firmy, które rozpoczęły swoją cyfrową transformację, lepiej przystosowały się do kryzysu COVID-19. Projekt zorientowany na użytkownika obsługuje również RODO. Ma proces i koncentrację na kliencie, których potrzebujesz, aby tworzyć produkty, które są zgodne z ideą, że dane klientów są cenne i muszą być chronione. Ułatwi to rozwój Twoich produktów zgodnie z przyszłymi przepisami.
  4. Możesz wbudować zgodność w swoje produkty cyfrowe.
    Prywatność z założenia jest tutaj, aby pozostać. Jeśli korzystasz już z projektowania usług, możesz dołączyć informacje o kliencie jako warstwę danych w swoich projektach usług. Jeśli nie, teraz jest świetny czas, aby zacząć. Mapowanie, gdzie dane są gromadzone, przetwarzane i przechowywane, wskazuje słabe punkty, w których mogą wystąpić potencjalne naruszenia. Zautomatyzowane narzędzia do zapewniania zgodności pomogą zmniejszyć obciążenie firm, a ponadto mogą zwiększyć bezpieczeństwo przetwarzania danych.
  5. RODO wspiera innowacje — jeśli robisz to dobrze.
    Niektórzy ostrzegają, że RODO dusi innowacje, ograniczając przepływ danych, a zwłaszcza zniechęcając firmy do wprowadzania innowacji z wykorzystaniem danych. Inni wskazują na możliwości wprowadzania innowacji w technologii blockchain, IoT i sztucznej inteligencji w sposób bezpieczny i zapewniający ochronę danych. Prawda? Tak, oczywiście, możesz wprowadzać innowacje i być zgodnym z RODO. Ale etyka w AI jest kluczowa: musisz szanować swoich klientów i ich dane.
  6. Miej oko na swoich partnerów zewnętrznych.
    Wraca to do powyższej decyzji współadministratorów. Firmy dzielą teraz odpowiedzialność za dane klientów ze stronami trzecimi, które je przetwarzają, a przetwarzanie to musi być udokumentowane. Możesz oczekiwać, że kontrole stron trzecich, monitorowanie i zobowiązania umowne będą od teraz priorytetem dla firm.

Oto, jak RODO może się rozwijać

Uff. To dużo do przyjęcia. Ale patrząc w przyszłość, obstawiam, że zobaczymy zmiany.

  1. RODO będzie nadal ewoluować , a jasność będzie wynikać z przypadków testowych i potencjalnie dalszych przepisów, w tym rozporządzenia o prywatności i łączności elektronicznej.
  2. UE będzie nadal promować międzynarodowe przyjęcie prawa o ochronie danych. Zobaczymy, jak coraz więcej krajów przyjmie ochronę danych, często zawartą w umowach handlowych i dotyczących bezpieczeństwa.
  3. Jeśli dopisze nam szczęście, możemy zacząć dostrzegać międzynarodową konwergencję przepisów o ochronie danych — zwłaszcza jeśli Stany Zjednoczone wdrożą prywatność danych na szczeblu federalnym.
  4. Ale zobaczymy też więcej starć między UE a USA ze względu na ich przeciwne podejście do prywatności.
  5. Ponieważ „dane to nowy olej”, możemy zaobserwować więcej sytuacji, w których użytkownicy otrzymują bezpłatne produkty i usługi, przekazując dane za pośrednictwem plików cookie.
  6. Firmy będą odchodzić od plików cookie stron trzecich na rzecz śledzenia i automatyzacji po stronie serwera, aby zachować zgodność.
  7. Firmy przyjmą narzędzia i procesy dotyczące prywatności w fazie projektowania (PdB) oraz projektowania usług, aby pomóc im zachować zgodność z wieloma zestawami przepisów dotyczących prywatności.
  8. I wreszcie — i to jest pewne — zobaczymy coraz więcej pozwów o prywatność . Kto zostanie zwycięzcą — zwolennicy wielkich technologii czy ochrony prywatności? Tego nie wiem, ale jednego możemy być pewni: prawnicy ds. prywatności zarobią dużo pieniędzy.

Ostatnie słowo o zaufaniu

Tematem leżącym u podstaw zarówno komunikatów Komisji Europejskiej, jak i komentarzy ekspertów branżowych jest zaufanie . Agencje cyfrowe, takie jak nasza, muszą teraz przedstawić dowody bezpieczeństwa danych i zgodności z RODO — nawet w zakresie zasad szkolenia personelu w zakresie ochrony danych. To coś nowego. Priorytetem UE jest wspieranie bezpiecznego przepływu danych i innowacji, zarówno w UE, jak i poza nią. Ich rozwiązaniem jest zgodność ze standardami. A my, jako projektanci i programiści, mamy do odegrania kluczową rolę.

  • Część 1: RODO, kluczowe aktualizacje i ich znaczenie
  • Część 2: Zgoda na pliki cookie dla projektantów i programistów

Dalsza lektura

  • Ochrona danych, strona UE
  • Wytyczne brytyjskiego ICO dotyczące plików cookie
  • GDPR Enforcement Tracker, rejestruje kary nakładane w ramach GDPR
  • Lista kontrolna RODO, autorstwa Cyber-Duck (świetne miejsce na początek)
  • Przegląd przepisów o ochronie danych w Stanach Zjednoczonych, opracowany przez ICLG
  • Przewodnik porównujący RODO i CCPA, opracowany przez DataGuidance i Forum przyszłości prywatności
  • CCPA vs CPRA, od IAPP
  • Bezpieczeństwo według projektu (Amazon)
  • Jak chronić swoich użytkowników za pomocą ram prywatności według projektu, Heather Burns, Smashing Magazine