The EU General Data Protection Regulation (GDPR)
The process
The European Union Legislative Process. The Ordinary Legislative Process as it relates to Privacy and Data Protection legislation
The General Data Protection Regulation is currently undergoing the Ordinary Legislative Procedure within the relevant Union legislative bodies. As the name suggests, this is the most common form of legislation creation as 89% of all proposals between 2009 and 2014 underwent this process. Currently, the GDPR has just reached an agreement in the informal negotiation stage referred to as the “Trilogues” following the adoption of the first readings by both the Parliament and the Council. The following article will outline the parties involved in the legislative process, what exactly this regulation has been through thus far, and what is yet to come.
There are three European authorities officially responsible for the legislative process, and two advisory bodies worth noting for their specific relation to data privacy:
Authoritative bodies
European Commission: The European Commission is the EU’s executive body. It represents the interests of the European Union as a whole through a total of 28 commissioners, one from each member state, and 23,000 staff members. The body works on the basis of collective decision-making in order to complete its roles of proposing legislation, enforcing European law (with the help of the Court of Justice), representing the EU internationally, setting objectives, and managing EU policies and the budget.
European Parliament: The European Parliament is the only body whose members are directly elected by the citizens of the EU. It’s aim is to preserve democracy and represent the interests of the people. It holds powers over passing legislation, the EU budget, and the President and appointments of the Commission. It is made up of 751 members, elected to five year terms, with representation based upon the population of each member state.
Council of Ministers of the European Union: The Council of the Ministers of the European Union represents the governments of each member state. Its shares the power of adoption for legislation and the budget with Parliament, and also coordinates policy for the individual member states as well as foreign and security policy for the Union. Based on proposals from the Commission, the Council is the authoritative body to conclude and sign off on international agreements. The council meetings are attended by representatives (either ministers or state secretaries) who have the right to commit their countries and cast their vote.
Advisory bodies
Article 29 Data Protection Working Party: The Article 29 Working Party is and advisory body set up under the Data Privacy Directive 95/46/EC and is composed of representatives of the national data protection authorities (DPA), the EDPS and the European Commission. Its role is to advise the Commission on general data protection matters as well as laws from the EU that may affect data privacy. It also promotes the uniform application of the Data Protection Directive across the entire EU.
European Data Protection Supervisor: The European Data Protection Supervisor is the independent supervisory authority set up in 2014 by the Parliament and Council to advise EU administrations on the processing of personal data as well as supervising these bodies to ensure compliance to their own regulations. The EDPS also handles complaints and monitors new technologies related to the processing of personal data.
The ordinary legislative procedure covers the majority of what is known as secondary law, which is derived from the principles and objectives set out in EU Treaties and includes regulations, directives and decisions. It is always important to note that the GDPR is a regulation, which is immediately applicable across the Union, rather than a directive, which must be transposed into national law by each individual member state. The process begins with a proposal by the Commission, which is to be either adopted, rejected, or amended through a process of co-decision between the Parliament and the Council. The Parliament is first sent the proposal in order to make its first reading, to which is accepts or makes amendments to, before passing it on to the Council for it’s own first reading. If the council adopts the Parliament’s position, the legislation is passed, however if there are any further amendments made by the Council, all three bodies meet for the Trilogue negotiations. It is possible for a piece of legislation to continue on to a second reading by both the Parliament and the Council, and even still a final stage known as the Conciliation stage. If the legislation fails to be adopted at any stage, it can only be resurrected as a new proposal from the Commission, to repeat the entire process again.
The GDPR was initially proposed by the Commission in January of 2012, amended by the Parliament in its first reading in March of 2014, and most recently amended by the Council in its first reading in June of 2015. The first trilogue meeting was held on the 24th of June, with a stated goal from the three EU bodies to reach an agreement by the end of 2015. However, these negotiations can be extended by agreement among the leaders of each party as per the rules set out by the Joint Declaration on Practical Arrangements for the Codecision Procedure, which govern the trilogue meetings. A more robust timeline of events for the GDPR can be found here, and a discussion of the topics likely to have been the most intensely debated can be found here.
A political agreement was made on 15 December 2015, leaving the regulation to be signed in January 2016 by the Presidents and Secretaries General of both the Parliament and the Council, at which time the text will be published in the Official Journal of the European Union. The regulation will be directly binding throughout the EU following the two year grace period beginning on the date of publishing.
The regulation
GDPR Key Changes. An overview of the main changes under GDPR and how they differ from the previous directive
The aim of the GDPR is to protect all EU citizens from privacy and data breaches in today’s data-driven world. Although the key principles of data privacy still hold true to the previous directive, many changes have been proposed to the regulatory policies; the key points of the GDPR as well as information on the impacts it will have on business can be found below.
Increased Territorial Scope (extraterritorial applicability): Arguably the biggest change to the regulatory landscape of data privacy comes with the extended jurisdiction of the GDPR, as it applies to all companies processing the personal data of data subjects residing in the Union, regardless of the company’s location. Previously, territorial applicability of the directive was ambiguous and referred to data process ‘in context of an establishment’. This topic has arisen in a number of high profile court cases. GDPR makes its applicability very clear – it applies to the processing of personal data by controllers and processors in the EU, regardless of whether the processing takes place in the EU or not. The GDPR also applies to the processing of personal data of data subjects in the EU by a controller or processor not established in the EU, where the activities relate to: offering goods or services to EU citizens (irrespective of whether payment is required) and the monitoring of behaviour that takes place within the EU. Non-EU businesses processing the data of EU citizens also have to appoint a representative in the EU.
Penalties: Organizations in breach of GDPR can be fined up to 4% of annual global turnover or €20 Million (whichever is greater). This is the maximum fine that can be imposed for the most serious infringements e.g.not having sufficient customer consent to process data or violating the core of Privacy by Design concepts. There is a tiered approach to fines e.g. a company can be fined 2% for not having their records in order (article 28), not notifying the supervising authority and data subject about a breach or not conducting impact assessment. It is important to note that these rules apply to both controllers and processors – meaning ‘clouds’ are not exempt from GDPR enforcement.
Consent: The conditions for consent have been strengthened, and companies are no longer able to use long illegible terms and conditions full of legalese. The request for consent must be given in an intelligible and easily accessible form, with the purpose for data processing attached to that consent. Consent must be clear and distinguishable from other matters and provided in an intelligible and easily accessible form, using clear and plain language. It must be as easy to withdraw consent as it is to give it.
Data Subject Rights
Breach Notification: Under the GDPR, breach notifications are now mandatory in all member states where a data breach is likely to “result in a risk for the rights and freedoms of individuals”. This must be done within 72 hours of first having become aware of the breach. Data processors are also required to notify their customers, the controllers, “without undue delay” after first becoming aware of a data breach.
Right to Access: Part of the expanded rights of data subjects outlined by the GDPR is the right for data subjects to obtain confirmation from the data controller as to whether or not personal data concerning them is being processed, where and for what purpose. Further, the controller shall provide a copy of the personal data, free of charge, in an electronic format. This change is a dramatic shift to data transparency and empowerment of data subjects.
Right to be Forgotten: Also known as Data Erasure, the right to be forgotten entitles the data subject to have the data controller erase his/her personal data, cease further dissemination of the data, and potentially have third parties halt processing of the data. The conditions for erasure, as outlined in article 17, include the data no longer being relevant to original purposes for processing, or a data subject withdrawing consent. It should also be noted that this right requires controllers to compare the subjects’ rights to “the public interest in the availability of the data” when considering such requests.
Data Portability: GDPR introduces data portability – the right for a data subject to receive the personal data concerning them – which they have previously provided in a ‘commonly use and machine readable format’ and have the right to transmit that data to another controller.
Privacy by Design: Privacy by design as a concept has existed for years, but it is only just becoming part of a legal requirement with the GDPR. At its core, privacy by design calls for the inclusion of data protection from the onset of the designing of systems, rather than an addition. More specifically, ‘The controller shall… implement appropriate technical and organisational measures… in an effective way… in order to meet the requirements of this Regulation and protect the rights of data subjects’. Article 23 calls for controllers to hold and process only the data absolutely necessary for the completion of its duties (data minimisation), as well as limiting the access to personal data to those needing to act out the processing.
Data Protection Officers: Under GDPR it is not necessary to submit notifications / registrations to each local DPA of data processing activities, nor is it a requirement to notify / obtain approval for transfers based on the Model Contract Clauses (MCCs). Instead, there are internal record keeping requirements, as further explained below, and DPO appointment is mandatory only for those controllers and processors whose core activities consist of processing operations which require regular and systematic monitoring of data subjects on a large scale or of special categories of data or data relating to criminal convictions and offences.
Sources
https://eugdpr.org/
http://www.europarl.europa.eu/aboutparliament/en/20150201PVL00004/Legislative-powers
http://ec.europa.eu/about/index_en.htm
http://www.europarl.europa.eu/aboutparliament/en/20150201PVL00002/Home
http://europa.eu/about-eu/institutions-bodies/council-eu/index_en.htm
https://secure.edps.europa.eu/EDPSWEB/edps/Cooperation/Art29
https://secure.edps.europa.eu/EDPSWEB/edps/EDPS
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:ai0016
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:l14522
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:l14527
http://privacylawblog.fieldfisher.com/2015/unravelling-the-mysteries-of-the-gdpr-trilogues
http://www.eppgroup.eu/fr/news/Data-protection-reform-timetable
http://www.europarl.europa.eu/code/information/guide_en.pdf
http://privacylawblog.fieldfisher.com/2015/the-eu-dp-regulation-is-on-its-way-but-when
http://eur-lex.europa.eu/procedure/EN/201286
http://www.consilium.europa.eu/uedocs/cmsUpload/QC3109179ENC.pdf
http://europa.eu/rapid/press-release_IP-15-6321_en.htm?locale=en
______________________________________________________________________
Index
― The EU General Data Protection Regulation (GDPR) (ENGLISH)
― O Regulamento Geral de Proteção de Dados da UE (GDPR) (PORTUGUESE | PORTUGUÊS)
― Le règlement général de l'UE sur la protection des données (GDPR) (FRENCH | FRANÇAIS)
― El Reglamento General de Protección de Datos de la UE (GDPR) (SPANISH | ESPAÑOL)
― Die EU-Datenschutzgrundverordnung (GDPR) (GERMAN | DEUTSCHE)
― Il regolamento generale sulla protezione dei dati dell'UE (GDPR) (ITALIAN | ITALIANO)
― Общее положение ЕС о защите данных (GDPR) (RUSSIAN | РУССКИЙ)
― EU Genel Veri Koruma Yönetmeliği (GDPR) (TURKISH | TÜRK)
― Загальний регламент захисту даних ЄС (GDPR) (UKRAINIAN | УКРАЇНСЬКИЙ)
― 欧盟通用数据保护条例(GDPR)(CHINESE | 中文)
― EU一般データ保護規則(GDPR)(JAPANESE | 日本語)
― اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) (ARABIC | عربى)
― EU의 일반 데이터 보호 규정 (GDPR) (KOREAN | 한국)
― Ο γενικός κανονισμός προστασίας δεδομένων της ΕΕ (GDPR) (GREEK | Ελληνικά)
― De EU Algemene Verordening Gegevensbescherming (GDPR) (NETHERLANDS | NEDERLAND)
― Regulamentul UE privind protecția generală a datelor (GDPR) (ROMANIA | ROMÂNIA)
______________________________________________________________________
PORTUGUESE | PORTUGUÊS
O Regulamento Geral de Proteção de Dados da UE (GDPR)
O processo
O Processo Legislativo da União Europeia. O Processo Legislativo Ordinário no que se refere à legislação sobre Privacidade e Proteção de Dados
O Regulamento Geral de Proteção de Dados está atualmente em processo legislativo ordinário nos órgãos legislativos relevantes da União. Como o nome sugere, esta é a forma mais comum de criação de legislação, uma vez que 89% de todas as propostas entre 2009 e 2014 foram submetidas a este processo. Atualmente, o PIBR acaba de chegar a um acordo na fase de negociação informal referida como os “Trílogos” após a adoção das primeiras leituras tanto pelo Parlamento como pelo Conselho. O artigo a seguir delineará as partes envolvidas no processo legislativo, o que exatamente esta regulamentação passou até agora e o que ainda está por vir.
Existem três autoridades europeias oficialmente responsáveis pelo processo legislativo e dois órgãos consultivos dignos de nota pela sua relação específica com a privacidade dos dados:
Organismos competentes
Comissão Europeia: A Comissão Europeia é o órgão executivo da UE. Representa os interesses da União Europeia como um todo através de um total de 28 comissários, um de cada estado membro e 23.000 membros do pessoal. O organismo funciona com base no processo decisório coletivo, a fim de completar o seu papel de propor legislação, aplicar a legislação europeia (com a ajuda do Tribunal de Justiça), representar a UE a nível internacional, estabelecer objetivos e gerir as políticas da UE e o orçamento .
Parlamento Europeu: O Parlamento Europeu é o único órgão cujos membros são eleitos diretamente pelos cidadãos da UE. Seu objetivo é preservar a democracia e representar os interesses do povo. Possui poderes sobre a aprovação de legislação, o orçamento da UE e o Presidente e nomeações da Comissão. É composto por 751 membros, eleitos para mandatos de cinco anos, com representação baseada na população de cada estado membro.
Conselho de Ministros da União Europeia: O Conselho dos Ministros da União Europeia representa os governos de cada estado membro. Compartilha o poder de adoção para a legislação e o orçamento com o Parlamento, e também coordena a política para os estados membros individuais assim como a política externa e de segurança da União. Com base em propostas da Comissão, o Conselho é o órgão competente para concluir e assinar acordos internacionais. As reuniões do conselho são acompanhadas por representantes (ministros ou secretários estaduais) que têm o direito de comprometer seus países e votar.
Órgãos consultivos
Artigo 29.º Grupo de protecção de dados: O grupo de trabalho do artigo 29.º é um órgão consultivo criado ao abrigo da Directiva 95/46 / CE relativa à privacidade de dados e é composto por representantes das autoridades nacionais de protecção de dados (AEP), da AEPD e da Comissão Europeia. O seu papel é aconselhar a Comissão em questões gerais de proteção de dados , bem como leis da UE que possam afetar a privacidade dos dados. Promove igualmente a aplicação uniforme da diretiva relativa à proteção de dados em toda a UE.
Autoridade Europeia para a Protecção de Dados: A Autoridade Europeia para a Protecção de Dados é a autoridade supervisora independente criada em 2014 pelo Parlamento e Conselho para aconselhar as administrações da UE sobre o processamento de dados pessoais, bem como supervisionar esses órgãos para garantir o cumprimento dos seus próprios regulamentos. A AEPD também lida com reclamações e monitoriza novas tecnologias relacionadas com o processamento de dados pessoais.
O processo legislativo ordinário abrange a maioria do que é conhecido como direito derivado, que deriva dos princípios e objetivos estabelecidos nos Tratados da UE e inclui regulamentos, diretivas e decisões. É sempre importante notar que o GDPR é um regulamento, que é imediatamente aplicável em toda a União, em vez de uma directiva, que deve ser transposta para a legislação nacional por cada Estado-Membro individual. O processo começa com uma proposta da Comissão, que deve ser adoptada, rejeitada ou alterada através de um processo de co-decisão entre o Parlamento e o Conselho. Primeiro, o Parlamento envia a proposta para fazer a sua primeira leitura, à qual é aceite ou faz alterações, antes de a transmitir ao Conselho para sua primeira leitura. Se o Conselho adoptar a posição do Parlamento, a legislação é aprovada, mas, se houver quaisquer outras alterações introduzidas pelo Conselho, os três órgãos reúnem-se para as negociações do Trílogo. É possível que um acto legislativo prossiga para uma segunda leitura tanto pelo Parlamento como pelo Conselho, e ainda uma fase final conhecida como fase de conciliação. Se a legislação não for aprovada em qualquer fase, só poderá ser ressuscitada como nova proposta da Comissão, para repetir todo o processo.
O PDRP foi inicialmente proposto pela Comissão em janeiro de 2012, alterado pelo Parlamento na sua primeira leitura em março de 2014 e, mais recentemente, alterado pelo Conselho na sua primeira leitura em junho de 2015. Foi realizado o primeiro trílogo sobre o tema. 24 de junho, com um objetivo declarado dos três órgãos da UE para chegar a um acordo até o final de 2015. No entanto, essas negociações podem ser estendidas por acordo entre os líderes de cada parte conforme as regras estabelecidas pela Declaração Conjunta sobre Disposições para o processo de co-decisão, que regem as reuniões do trílogo. Um cronograma mais robusto de eventos para o GDPR pode ser encontrado aqui, e uma discussão dos tópicos que provavelmente foram os mais intensamente debatidos pode ser encontrada aqui.
Foi celebrado um acordo político em 15 de dezembro de 2015, deixando o regulamento a ser assinado em janeiro de 2016 pelos presidentes e secretários-gerais do Parlamento e do Conselho, altura em que o texto será publicado no Jornal Oficial da União Europeia. O regulamento será diretamente vinculativo em toda a UE, após o período de carência de dois anos a partir da data de publicação.
O regulamento
Alterações da Chave GDPR. Uma visão geral das principais mudanças no GDPR e como elas diferem da diretiva anterior
O objetivo do GDPR é proteger todos os cidadãos da UE contra violações de privacidade e dados no atual mundo orientado por dados. Embora os princípios-chave da privacidade de dados ainda se mantenham fiéis à diretiva anterior, muitas mudanças foram propostas para as políticas reguladoras; os pontos-chave do GDPR, bem como informações sobre os impactos que terá nos negócios, podem ser encontrados abaixo.
Maior Alcance Territorial (aplicabilidade extraterritorial): Provavelmente a maior mudança no panorama regulatório da privacidade de dados vem com a jurisdição estendida do GDPR, já que se aplica a todas as empresas que processam os dados pessoais dos titulares de dados residentes na União, independentemente da empresa. localização. Anteriormente, a aplicabilidade territorial da directiva era ambígua e referia-se ao processo de dados "no contexto de um estabelecimento". Este tópico surgiu em uma série de casos judiciais de alto nível. O GDPR torna a sua aplicabilidade muito clara - aplica-se ao tratamento de dados pessoais por parte de controladores e processadores na UE, independentemente de o processamento ter lugar na UE ou não. O GDPR aplica-se igualmente ao tratamento de dados pessoais de titulares de dados na UE por um responsável pelo tratamento ou subcontratante não estabelecido na UE, quando as atividades dizem respeito a: oferecer bens ou serviços a cidadãos da UE (independentemente de o pagamento ser necessário) e monitorização do comportamento que ocorre na UE. As empresas não pertencentes à UE que processam os dados dos cidadãos da UE também têm de nomear um representante na UE.
Penalidades: As organizações que violarem o GDPR podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves e não tem consentimento suficiente do cliente para processar dados ou violar o núcleo dos conceitos de Privacidade por Design. Existe uma abordagem escalonada de multas, por exemplo, uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificando a autoridade supervisora e o titular de dados sobre uma violação ou não a avaliação de impacto. É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores - o que significa que as nuvens não estão isentas da aplicação do GDPR.
Consentimento: As condições de consentimento foram reforçadas e as empresas não podem mais usar termos e condições longos e ilegíveis cheios de legalistas. O pedido de consentimento deve ser dado de uma forma inteligível e de fácil acesso, com o propósito de processamento de dados anexado a esse consentimento. O consentimento deve ser claro e distinguível de outros assuntos e ser fornecido de uma forma inteligível e de fácil acesso, usando linguagem clara e clara. Deve ser tão fácil retirar o consentimento quanto dar.
Direitos do sujeito de dados
Notificação de violação: De acordo com o GDPR, as notificações de violação são agora obrigatórias em todos os estados membros, onde uma violação de dados é susceptível de "resultar em um risco para os direitos e liberdades dos indivíduos". Isso deve ser feito dentro de 72 horas após o primeiro conhecimento da violação. Os processadores de dados também são obrigados a notificar seus clientes, os controladores, “sem atrasos indevidos” após tomar conhecimento de uma violação de dados.
Direito de acesso: Parte dos direitos expandidos dos titulares de dados descritos pelo GDPR é o direito de os titulares de dados obterem confirmação do responsável pelo tratamento quanto a se os dados pessoais relativos a eles estão sendo processados, onde e com que finalidade. Além disso, o responsável pelo tratamento deve fornecer gratuitamente uma cópia dos dados pessoais em formato eletrónico. Esta mudança é uma mudança drástica na transparência de dados e no empoderamento dos titulares de dados.
Direito de ser esquecido: Também conhecido como Eliminação de Dados, o direito ao esquecimento autoriza o titular de dados a fazer com que o controlador de dados apague seus dados pessoais, interrompa a disseminação dos dados e, potencialmente, terceiros suspendam o processamento dos dados. As condições para o apagamento, conforme descrito no artigo 17, incluem os dados que não são mais relevantes para propósitos originais de processamento, ou um titular de dados que retira o consentimento. Também deve ser notado que esse direito exige que os controllers comparem os direitos dos sujeitos ao “interesse público na disponibilidade dos dados” ao considerar tais solicitações.
Portabilidade de dados: O GDPR introduz a portabilidade de dados - o direito de um titular de dados receber os dados pessoais relativos a eles - que eles forneceram anteriormente em um formato de uso comum e legível por máquina e têm o direito de transmitir esses dados para outro controlador.
Privacidade por Design: A privacidade por design como um conceito existe há anos, mas está apenas se tornando parte de uma exigência legal com o GDPR. Em sua essência, a privacidade pelo design exige a inclusão da proteção de dados desde o início do projeto dos sistemas, em vez de uma adição. Mais especificamente, «O responsável pelo controlo deve… aplicar medidas técnicas e organizativas adequadas de forma eficaz, a fim de cumprir os requisitos do presente regulamento e proteger os direitos das pessoas em causa». O Artigo 23 exige que os responsáveis pelo tratamento mantenham e processem apenas os dados absolutamente necessários para o cumprimento de suas obrigações (minimização de dados), bem como limitem o acesso a dados pessoais àqueles que precisam realizar o processamento.
Oficiais de Proteção de Dados: Sob o GDPR, não é necessário enviar notificações / registros para cada DPA local das atividades de processamento de dados, nem é um requisito para notificar / obter aprovação para transferências baseadas nas Cláusulas do Contrato Modelo (MCCs). Em vez disso, há requisitos de manutenção de registros internos, conforme explicado abaixo, e a nomeação de DPO é obrigatória apenas para os controladores e processadores cujas atividades principais consistem em operações de processamento que exigem monitoramento regular e sistemático de dados em larga escala ou de categorias especiais de dados ou dados relativos a condenações e infracções penais.
______________________________________________________________________
FRENCH | FRANÇAIS
Le règlement général de l'UE sur la protection des données (GDPR)
Le processus
Le processus législatif de l'Union européenne. Le processus législatif ordinaire en ce qui concerne la législation sur la protection de la vie privée et des données
Le règlement général sur la protection des données fait actuellement l'objet d'une procédure législative ordinaire au sein des organes législatifs de l'Union concernés. Comme son nom l'indique, il s'agit de la forme de législation la plus courante: 89% de toutes les propositions présentées entre 2009 et 2014 ont été soumises à ce processus. À l'heure actuelle, le GDPR vient de parvenir à un accord au stade de la négociation informelle, appelé «trilogues», à la suite de l'adoption des premières lectures par le Parlement et le Conseil. L'article qui suit décrit les parties impliquées dans le processus législatif, décrit exactement ce que ce règlement a été jusqu'à présent et ce qui reste à venir.
Trois autorités européennes sont officiellement responsables du processus législatif et deux organes consultatifs méritent d'être mentionnés pour leur relation spécifique avec la confidentialité des données:
Organismes faisant autorité
Commission européenne: La Commission européenne est l'organe exécutif de l'UE. Il représente les intérêts de l'Union européenne dans son ensemble grâce à un total de 28 commissaires, un de chaque État membre, et 23 000 membres du personnel. L'organisme travaille sur la base d'une prise de décision collective afin de compléter ses rôles de proposition de législation, d'application du droit européen (avec l'aide de la Cour de justice), de représentation de l'UE sur le plan international, de définition d'objectifs et de gestion des politiques et du budget de l'UE. .
Parlement européen: le Parlement européen est le seul organe dont les membres sont élus directement par les citoyens de l'UE. Son objectif est de préserver la démocratie et de représenter les intérêts du peuple. Il détient des pouvoirs sur la législation, le budget de l'UE, le président et les nominations à la Commission. Il est composé de 751 membres, élus pour cinq ans, avec une représentation basée sur la population de chaque État membre.
Conseil des ministres de l'Union européenne: Le Conseil des ministres de l'Union européenne représente les gouvernements de chaque État membre. Elle partage le pouvoir d'adoption de la législation et du budget avec le Parlement et coordonne également les politiques des différents États membres ainsi que la politique étrangère et de sécurité de l'Union. Sur la base de propositions de la Commission, le Conseil est l'organe compétent pour conclure et signer des accords internationaux. Des représentants (ministres ou secrétaires d'État) assistent aux réunions du conseil et ont le droit d'engager leur pays et de voter.
Organes consultatifs
Groupe de travail «Article 29» sur la protection des données: Le groupe de travail «Article 29» est un organe consultatif créé en vertu de la directive 95/46 / CE sur la protection des données. Il est composé de représentants des autorités nationales de protection des données (DPA), du CEPD et de la Commission européenne. Son rôle est de conseiller la Commission sur des questions générales relatives à la protection des données ainsi que sur les lois de l'Union européenne susceptibles d'affecter la confidentialité des données. Il promeut également l'application uniforme de la directive sur la protection des données dans l'ensemble de l'UE.
Contrôleur européen de la protection des données: le contrôleur européen de la protection des données est l'autorité de contrôle indépendante créée en 2014 par le Parlement et le Conseil pour conseiller les administrations de l'UE sur le traitement des données à caractère personnel et superviser le contrôle de ces organismes sur le respect de leurs propres réglementations. Le CEPD traite également les plaintes et surveille les nouvelles technologies liées au traitement des données à caractère personnel.
La procédure législative ordinaire couvre la majorité de ce que l'on appelle le droit dérivé, qui découle des principes et objectifs énoncés dans les traités de l'UE et comprend des règlements, des directives et des décisions. Il est toujours important de noter que le RGPD est un règlement, qui est immédiatement applicable dans toute l'Union, plutôt qu'une directive, qui doit être transposée en droit national par chaque État membre. Le processus commence par une proposition de la Commission, qui doit être adoptée, rejetée ou modifiée dans le cadre d'un processus de codécision entre le Parlement et le Conseil. La proposition est d'abord envoyée au Parlement pour qu'il puisse procéder à sa première lecture, à laquelle il accepte ou apporte des amendements, avant de la transmettre au Conseil pour qu'il procède à sa première lecture. Si le conseil adopte la position du Parlement, la législation est adoptée. Toutefois, si le Conseil apporte d'autres modifications, les trois organes se réunissent pour les négociations en trilogue. Il est possible qu'un projet de loi passe en deuxième lecture à la fois par le Parlement et par le Conseil, voire même à un stade final appelé phase de conciliation. Si la législation n’est adoptée à aucun moment, elle ne pourra être ressuscitée qu’en tant que nouvelle proposition de la Commission, visant à répéter l’ensemble du processus.
Le RGPD avait été proposé à l'origine par la Commission en janvier 2012, modifié par le Parlement en première lecture en mars 2014 et le plus récemment modifié par le Conseil en première lecture en juin 2015. Le premier trilogue avait eu lieu le Le 24 juin, les trois organes de l’UE ayant pour objectif déclaré de parvenir à un accord d’ici à la fin de 2015, ces négociations peuvent toutefois être prolongées d’un commun accord par les dirigeants de chaque partie, conformément aux règles énoncées dans la Déclaration commune sur les aspects pratiques. Dispositions relatives à la procédure de codécision, qui régissent les réunions du trilogue. Vous trouverez ici une chronologie plus robuste des événements pour le RGPD, ainsi qu'une discussion sur les sujets susceptibles d'avoir été les plus intensément débattus.
Un accord politique a été conclu le 15 décembre 2015; le règlement devrait être signé en janvier 2016 par les présidents et les secrétaires généraux du Parlement et du Conseil. Le texte sera publié au Journal officiel de l'Union européenne. Le règlement sera directement contraignant dans toute l’UE après le délai de grâce de deux ans à compter de la date de publication.
La réglementation
Changements de clé GDPR. Un aperçu des principaux changements dans le RGPD et de la manière dont ils diffèrent de la directive précédente
Le but du GDPR est de protéger tous les citoyens de l'Union européenne contre les atteintes à la vie privée et aux données dans le monde caractérisé par les données. Bien que les principes clés de la confidentialité des données restent toujours conformes à la directive précédente, de nombreux changements ont été proposés aux politiques réglementaires. Vous trouverez ci-dessous les points clés du RGPD, ainsi que des informations sur son impact sur les entreprises.
Portée territoriale accrue (applicabilité extraterritoriale): le plus grand changement apporté au paysage réglementaire de la confidentialité des données concerne la compétence étendue du RGPD, qui s'applique à toutes les sociétés qui traitent les données à caractère personnel de personnes concernées résidant dans l'Union, indépendamment de la société. emplacement. Auparavant, l'applicabilité territoriale de la directive était ambiguë et faisait référence au traitement de données «dans le contexte d'un établissement». Ce sujet a été soulevé dans un certain nombre d'affaires judiciaires de haut niveau. Le RPGD rend son applicabilité très claire - il s’applique au traitement des données à caractère personnel par les responsables du traitement et les processeurs dans l’UE, que le traitement ait lieu dans l’UE ou non. Le RPGD s’applique également au traitement des données à caractère personnel des personnes concernées dans l’UE par un responsable du traitement ou un sous-traitant non établi dans l’UE, lorsque les activités consistent à: offrir des biens ou des services aux citoyens de l’UE (que le paiement soit exigé ou non) et surveillance des comportements au sein de l’UE. Les entreprises non européennes qui traitent les données des citoyens de l'UE doivent également désigner un représentant dans l'UE.
Sanctions: les organisations en infraction avec le RGPD peuvent être condamnées à une amende pouvant aller jusqu'à 4% du chiffre d'affaires global annuel ou à 20 millions d'euros (le montant le plus élevé). Il s’agit de l’amende maximale pouvant être infligée pour les infractions les plus graves, par exemple si le client n’a pas donné l’assentiment suffisant pour traiter les données ou enfreint le cœur des concepts de la protection intégrée de la vie privée. Il existe une approche progressive des amendes, par exemple, une entreprise peut être condamnée à une amende de 2% pour ne pas avoir ses dossiers en ordre (article 28), sans notifier l'autorité de supervision et la personne concernée par une violation ou ne pas effectuer d'analyse d'impact. Il est important de noter que ces règles s'appliquent à la fois aux contrôleurs et aux processeurs. En d'autres termes, les "nuages" ne sont pas exemptés de l'application du GDPR.
Consentement: les conditions du consentement ont été renforcées et les entreprises ne sont plus en mesure d’utiliser des termes et conditions illisibles depuis longtemps qui sont pleins de jargon juridique. La demande de consentement doit être présentée sous une forme intelligible et facilement accessible, l’objet du traitement des données étant associé à ce consentement. Le consentement doit être clair, distinct des autres questions et présenté sous une forme intelligible et facilement accessible, dans un langage clair et simple. Il doit être aussi facile de retirer son consentement que de le donner.
Droits des sujets de données
Notification d'infraction: en vertu du RGPD, la notification d'infraction est désormais obligatoire dans tous les États membres où une atteinte à la sécurité des données risque «d'entraîner un risque pour les droits et libertés des personnes». Cela doit être fait dans les 72 heures après avoir pris connaissance de la violation. Les responsables du traitement de données sont également tenus d'informer leurs clients, les contrôleurs, «sans retard indu» après avoir pris connaissance d'une violation de données.
Droit d'accès: Une partie des droits étendus des personnes concernées définis par le RGPD est le droit des personnes concernées d'obtenir du responsable du traitement de l'information pour leur confirmer si les données à caractère personnel les concernant sont traitées ou non, où et dans quel but. En outre, le responsable du traitement fournit gratuitement une copie des données à caractère personnel sous forme électronique. Ce changement constitue un changement radical vers la transparence des données et la responsabilisation des personnes concernées.
Droit d'être oublié: Également appelé effacement des données, le droit d'être oublié donne à la personne concernée le droit de faire effacer ses données personnelles par le responsable du traitement, de cesser toute diffusion ultérieure des données et, éventuellement, d'interrompre le traitement des données par des tiers. Les conditions d'effacement, énoncées à l'article 17, incluent les données qui ne sont plus pertinentes pour les finalités du traitement, ou le retrait du consentement de la personne concernée. Il convient également de noter que ce droit oblige les responsables du traitement à comparer les droits des sujets à «l'intérêt public quant à la disponibilité des données» lors de l'examen de telles demandes.
Portabilité des données: le GDPR introduit la portabilité des données - le droit pour une personne concernée de recevoir les données à caractère personnel la concernant - qu'elle a précédemment fournie dans un "format couramment utilisé et lisible par une machine" et qu'elle a le droit de transmettre ces données à un autre contrôleur.
Protection de la vie privée dès la conception: La protection de la vie privée dès la conception est un concept qui existe depuis des années, mais cela ne fait que commencer à faire partie des exigences légales du GDPR. Le concept de protection de la vie privée dès la conception requiert l’inclusion de la protection des données dès la conception des systèmes, plutôt qu’un ajout. Plus précisément, "le responsable du traitement met [en œuvre] les mesures techniques et organisationnelles appropriées ... de manière efficace ... afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées par les données". L'article 23 invite les responsables du traitement à ne conserver et à traiter que les données absolument nécessaires à l'accomplissement de ses tâches (minimisation des données), ainsi qu'à limiter l'accès aux données à caractère personnel à ceux qui doivent effectuer le traitement.
Responsables de la protection des données: En vertu du RGPD, il n'est pas nécessaire de soumettre des notifications / enregistrements à chaque APD locale pour les activités de traitement de données, ni l'obligation de notifier / obtenir l'approbation des transferts sur la base des clauses du contrat type (MCC). Comme expliqué ci-dessous, la conservation des enregistrements est obligatoire, mais uniquement pour les responsables du traitement et les sous-traitants dont les activités principales consistent en des opérations de traitement qui nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle ou de catégories particulières de destinataires. données ou données relatives à des condamnations pénales et à des infractions.
______________________________________________________________________
SPANISH | ESPAÑOL
El Reglamento General de Protección de Datos de la UE (GDPR)
El proceso
El proceso legislativo de la Unión Europea. El proceso legislativo ordinario en relación con la legislación sobre privacidad y protección de datos.
El Reglamento general de protección de datos se encuentra actualmente en proceso legislativo ordinario dentro de los órganos legislativos relevantes de la Unión. Como su nombre indica, esta es la forma más común de creación de legislación, ya que el 89% de todas las propuestas entre 2009 y 2014 se sometieron a este proceso. Actualmente, el GDPR acaba de llegar a un acuerdo en la etapa de negociación informal denominada "Trilogues" tras la adopción de las primeras lecturas tanto por el Parlamento como por el Consejo. El siguiente artículo describirá a las partes involucradas en el proceso legislativo, qué ha sido exactamente este reglamento hasta el momento y lo que está por venir.
Hay tres autoridades europeas responsables del proceso legislativo, y dos organismos asesores que destacan por su relación específica con la privacidad de los datos:
Cuerpos autoritativos
Comisión Europea: La Comisión Europea es el órgano ejecutivo de la UE. Representa los intereses de la Unión Europea en su conjunto a través de un total de 28 comisionados, uno de cada estado miembro y 23,000 miembros del personal. El organismo trabaja sobre la base de la toma de decisiones colectiva para completar su función de proponer legislación, hacer cumplir la ley europea (con la ayuda del Tribunal de Justicia), representar a la UE a nivel internacional, establecer objetivos y gestionar las políticas de la UE y el presupuesto. .
Parlamento Europeo: el Parlamento Europeo es el único órgano cuyos miembros son elegidos directamente por los ciudadanos de la UE. Su objetivo es preservar la democracia y representar los intereses de las personas. Tiene poderes para aprobar leyes, el presupuesto de la UE y el Presidente y los nombramientos de la Comisión. Está compuesto por 751 miembros, elegidos por períodos de cinco años, con representación basada en la población de cada estado miembro.
Consejo de Ministros de la Unión Europea: El Consejo de Ministros de la Unión Europea representa a los gobiernos de cada estado miembro. Comparte el poder de adopción de la legislación y el presupuesto con el Parlamento, y también coordina la política para los estados miembros individuales, así como la política exterior y de seguridad para la Unión. Sobre la base de propuestas de la Comisión, el Consejo es el órgano autorizado para concluir y firmar acuerdos internacionales. A las reuniones del consejo asisten representantes (ministros o secretarios de estado) que tienen el derecho de comprometer a sus países y emitir su voto.
Cuerpos asesores
Grupo de trabajo sobre protección de datos del artículo 29: el Grupo de trabajo sobre el artículo 29 es un órgano asesor establecido en virtud de la Directiva de privacidad de datos 95/46 / CE y está compuesto por representantes de las autoridades nacionales de protección de datos (DPA), el SEPD y la Comisión Europea. Su función es asesorar a la Comisión sobre cuestiones generales de protección de datos , así como sobre las leyes de la UE que pueden afectar la privacidad de los datos. También promueve la aplicación uniforme de la Directiva de protección de datos en toda la UE.
Supervisor Europeo de Protección de Datos: El Supervisor Europeo de Protección de Datos es la autoridad de supervisión independiente establecida en 2014 por el Parlamento y el Consejo para asesorar a las administraciones de la UE sobre el procesamiento de datos personales, así como la supervisión de estos organismos para garantizar el cumplimiento de sus propias regulaciones. El SEPD también maneja las quejas y controla las nuevas tecnologías relacionadas con el procesamiento de datos personales.
El procedimiento legislativo ordinario cubre la mayoría de lo que se conoce como ley secundaria, que se deriva de los principios y objetivos establecidos en los Tratados de la UE e incluye regulaciones, directivas y decisiones. Siempre es importante tener en cuenta que el GDPR es un reglamento, que se aplica de inmediato en toda la Unión, en lugar de una directiva, que debe ser incorporada a la legislación nacional por cada estado miembro. El proceso comienza con una propuesta de la Comisión, que se adoptará, rechazará o modificará mediante un proceso de codecisión entre el Parlamento y el Consejo. Primero se envía la propuesta al Parlamento para hacer su primera lectura, a la que se acepta o hace enmiendas, antes de pasarla al Consejo para su primera lectura. Si el consejo adopta la posición del Parlamento, se aprueba la legislación; sin embargo, si el Consejo realiza otras enmiendas, los tres órganos se reúnen para las negociaciones de Trilogue. Es posible que una parte de la legislación continúe en una segunda lectura tanto del Parlamento como del Consejo, e incluso de una etapa final conocida como la etapa de Conciliación. Si la legislación no se adopta en cualquier etapa, solo se puede resucitar como una nueva propuesta de la Comisión, para repetir todo el proceso nuevamente.
El GDPR fue propuesto inicialmente por la Comisión en enero de 2012, modificado por el Parlamento en su primera lectura en marzo de 2014, y más recientemente modificado por el Consejo en su primera lectura en junio de 2015. La primera reunión del trílogo se celebró el El 24 de junio, con el objetivo establecido de los tres organismos de la UE de alcanzar un acuerdo para fines de 2015. Sin embargo, estas negociaciones pueden extenderse mediante un acuerdo entre los líderes de cada parte según las reglas establecidas por la Declaración Conjunta sobre Práctica. Disposiciones para el procedimiento de codecisión, que rigen las reuniones de trílogo. Aquí se puede encontrar una línea de tiempo de eventos más sólida para el GDPR, y aquí se puede encontrar una discusión de los temas que probablemente hayan sido los más debatidos.
El 15 de diciembre de 2015 se llegó a un acuerdo político, dejando que el reglamento fuera firmado en enero de 2016 por los Presidentes y Secretarios Generales tanto del Parlamento como del Consejo, momento en el que el texto se publicará en el Diario Oficial de la Unión Europea. El reglamento será directamente vinculante en toda la UE después del período de gracia de dos años que comienza en la fecha de publicación.
El reglamento
Cambios clave de GDPR. Una visión general de los principales cambios en GDPR y cómo difieren de la directiva anterior
El objetivo del GDPR es proteger a todos los ciudadanos de la UE de la privacidad y las violaciones de datos en el mundo actual basado en datos. Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios a las políticas regulatorias; Los puntos clave de GDPR, así como la información sobre los impactos que tendrá en las empresas, se pueden encontrar a continuación.
Mayor alcance territorial (aplicabilidad extraterritorial): podría decirse que el mayor cambio en el panorama regulatorio de la privacidad de los datos viene con la jurisdicción extendida del GDPR, ya que se aplica a todas las compañías que procesan los datos personales de los sujetos de datos que residen en la Unión, independientemente de la compañía. ubicación. Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos "en el contexto de un establecimiento". Este tema ha surgido en varios casos judiciales de alto perfil. GDPR hace que su aplicabilidad sea muy clara: se aplica al procesamiento de datos personales por parte de los controladores y procesadores en la UE, independientemente de si el procesamiento se realiza en la UE o no. El GDPR también se aplica al procesamiento de datos personales de los sujetos de datos en la UE por un controlador o procesador no establecido en la UE, donde las actividades se relacionan con: ofrecer bienes o servicios a los ciudadanos de la UE (independientemente de si se requiere el pago) y Seguimiento del comportamiento que se produce dentro de la UE. Las empresas no pertenecientes a la UE que procesan los datos de los ciudadanos de la UE también tienen que designar un representante en la UE.
Sanciones: las organizaciones que incumplan el GDPR pueden ser multadas hasta el 4% de la facturación global anual o € 20 millones (lo que sea mayor). Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no contar con el consentimiento suficiente del cliente para procesar los datos o violar el núcleo de los conceptos de Privacidad por Diseño. Hay un enfoque escalonado para las multas, por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden (artículo 28), no notificar a la autoridad supervisora ni al sujeto de los datos sobre una infracción o no realizar una evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que las "nubes" no están exentas de la aplicación GDPR.
Consentimiento: Las condiciones para el consentimiento se han fortalecido, y las empresas ya no pueden usar términos y condiciones ilegibles por mucho tiempo llenos de información legal. La solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito de procesar la información adjunta a ese consentimiento. El consentimiento debe ser claro y distinguible de otros asuntos y debe proporcionarse de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como lo es darlo.
Derechos de los sujetos de datos
Notificación de incumplimiento: En virtud del GDPR, las notificaciones de incumplimiento ahora son obligatorias en todos los estados miembros en los que es probable que una violación de datos "genere un riesgo para los derechos y libertades de las personas". Esto debe hacerse dentro de las 72 horas posteriores a la primera toma de conciencia del incumplimiento. También se requiere que los procesadores de datos notifiquen a sus clientes, a los controladores, "sin demoras indebidas" después de que primero se hayan dado cuenta de una violación de datos.
Derecho de acceso: parte de los derechos ampliados de los sujetos de datos descritos por el GDPR es el derecho de los interesados a obtener una confirmación del controlador de datos sobre si se están procesando o no los datos personales que los conciernen, dónde y con qué fin. Además, el controlador proporcionará una copia de los datos personales, sin cargo, en formato electrónico. Este cambio es un cambio dramático hacia la transparencia de los datos y el empoderamiento de los sujetos de datos.
Derecho a ser olvidado: también conocido como Borrado de datos, el derecho a ser olvidado da derecho al sujeto de los datos a hacer que el controlador de datos borre sus datos personales, deje de difundir más los datos y, posiblemente, tenga terceros que detengan el procesamiento de los datos. Las condiciones para el borrado, tal como se describe en el artículo 17, incluyen que los datos ya no son relevantes para los propósitos originales para el procesamiento, o que el interesado retire el consentimiento. También se debe tener en cuenta que este derecho requiere que los controladores comparen los derechos de los sujetos al "interés público en la disponibilidad de los datos" al considerar tales solicitudes.
Portabilidad de datos: GDPR introduce la portabilidad de datos (el derecho de un sujeto de datos a recibir los datos personales que les conciernen) que han proporcionado previamente en un "formato de uso común y legible por máquina" y tienen el derecho de transmitir esos datos a otro controlador.
Privacidad por diseño: la privacidad por diseño como concepto ha existido durante años, pero solo se está convirtiendo en parte de un requisito legal con el GDPR. En su esencia, la privacidad por diseño exige la inclusión de protección de datos desde el inicio del diseño de sistemas, en lugar de una adición. Más específicamente, 'El controlador deberá ... implementar las medidas técnicas y organizativas adecuadas ... de manera efectiva ... para cumplir con los requisitos de este Reglamento y proteger los derechos de los interesados'. El artículo 23 exige que los controladores conserven y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos), así como que limitan el acceso a los datos personales a aquellos que necesitan actuar en el procesamiento.
Oficiales de protección de datos: Bajo GDPR no es necesario enviar notificaciones / registros a cada DPA local de las actividades de procesamiento de datos, ni es un requisito para notificar / obtener aprobación para transferencias basadas en las Cláusulas de Contrato Modelo (MCC). En su lugar, existen requisitos internos de mantenimiento de registros, como se explica a continuación, y la designación de DPO es obligatoria solo para aquellos controladores y procesadores cuyas actividades centrales consisten en operaciones de procesamiento que requieren un monitoreo regular y sistemático de los sujetos de datos a gran escala o de categorías especiales de Datos o datos relativos a condenas penales y delitos.
_______________________________________________________________________
GERMAN | DEUTSCHE
Die EU-Datenschutzgrundverordnung (GDPR)
Der Prozess
Der Gesetzgebungsprozess der Europäischen Union. Das ordentliche Gesetzgebungsverfahren in Bezug auf Datenschutzgesetze
Die Allgemeine Datenschutzverordnung wird derzeit im Rahmen der einschlägigen Gesetzgebungsorgane der Union dem ordentlichen Gesetzgebungsverfahren unterzogen. Wie der Name schon sagt, ist dies die häufigste Form der Gesetzgebung, da 89% aller Vorschläge zwischen 2009 und 2014 diesem Prozess unterzogen wurden. Gegenwärtig hat die DSGVO in der Phase der informellen Verhandlungen, die als „Triloge“ bezeichnet werden, nach der Annahme der ersten Lesungen sowohl durch das Parlament als auch durch den Rat eine Einigung erzielt. Der folgende Artikel beschreibt die am Gesetzgebungsprozess beteiligten Parteien, was genau diese Verordnung bisher durchgemacht hat und was noch zu erwarten ist.
Es gibt drei europäische Behörden, die offiziell für das Gesetzgebungsverfahren zuständig sind, und zwei Beratungsgremien, die für ihr spezifisches Verhältnis zum Datenschutz erwähnenswert sind:
Autoritäre Gremien
Europäische Kommission: Die Europäische Kommission ist das Exekutivorgan der EU. Es vertritt die Interessen der gesamten Europäischen Union durch insgesamt 28 Kommissare, einen aus jedem Mitgliedstaat und 23.000 Mitarbeiter. Das Gremium arbeitet auf der Grundlage kollektiver Entscheidungen, um seine Aufgaben als Gesetzgebungsvorschlag, Durchsetzung des europäischen Rechts (mit Hilfe des Gerichtshofs), Vertretung der EU auf internationaler Ebene, Festlegung von Zielen sowie Verwaltung der EU-Politik und des EU-Haushalts zu erfüllen .
Europäisches Parlament: Das Europäische Parlament ist das einzige Gremium, dessen Mitglieder direkt von den Bürgern der EU gewählt werden. Ziel ist es, die Demokratie zu wahren und die Interessen der Menschen zu vertreten. Sie hat die Befugnisse zur Verabschiedung von Gesetzen, zum EU-Haushalt und zum Präsidenten sowie zur Ernennung der Kommission. Es setzt sich aus 751 Mitgliedern zusammen, die für eine Amtszeit von fünf Jahren gewählt werden. Die Vertretung richtet sich nach der Bevölkerung der einzelnen Mitgliedstaaten.
Ministerrat der Europäischen Union: Der Ministerrat der Europäischen Union vertritt die Regierungen der einzelnen Mitgliedstaaten. Sie teilt die Gesetzgebungs- und Haushaltsbefugnis mit dem Parlament und koordiniert die Politik für die einzelnen Mitgliedstaaten sowie die Außen- und Sicherheitspolitik für die Union. Auf der Grundlage von Vorschlägen der Kommission ist der Rat das maßgebliche Organ für den Abschluss und die Unterzeichnung internationaler Übereinkünfte. An den Ratssitzungen nehmen Vertreter (Minister oder Staatssekretäre) teil, die das Recht haben, ihre Länder zu verpflichten und ihre Stimme abzugeben.
Beratungsgremien
Artikel-29-Datenschutzgruppe: Die Artikel-29-Datenschutzgruppe ist ein Beratungsgremium, das gemäß der Datenschutzrichtlinie 95/46 / EG eingerichtet wurde und sich aus Vertretern der nationalen Datenschutzbehörden (DSB), des EDSB und der Europäischen Kommission zusammensetzt. Ihre Aufgabe ist es, die Kommission in allgemeinen Datenschutzfragen sowie in Gesetzen der EU zu beraten, die sich auf den Datenschutz auswirken können. Sie fördert auch die EU-weite einheitliche Anwendung der Datenschutzrichtlinie.
Europäischer Datenschutzbeauftragter: Der Europäische Datenschutzbeauftragte ist die unabhängige Aufsichtsbehörde, die 2014 vom Parlament und vom Rat eingerichtet wurde, um die EU-Verwaltungen bei der Verarbeitung personenbezogener Daten zu beraten und diese Stellen zu überwachen, um die Einhaltung ihrer eigenen Vorschriften zu gewährleisten. Der EDSB bearbeitet auch Beschwerden und überwacht neue Technologien im Zusammenhang mit der Verarbeitung personenbezogener Daten.
Das ordentliche Gesetzgebungsverfahren deckt den Großteil des sogenannten Sekundärrechts ab, das sich aus den in den EU-Verträgen festgelegten Grundsätzen und Zielen ableitet und Verordnungen, Richtlinien und Entscheidungen umfasst. Es ist immer zu beachten, dass die DSGVO eine Verordnung ist, die unionsweit unmittelbar anwendbar ist, und keine Richtlinie, die von jedem einzelnen Mitgliedstaat in nationales Recht umgesetzt werden muss. Der Prozess beginnt mit einem Vorschlag der Kommission, der entweder angenommen, abgelehnt oder im Wege eines Mitentscheidungsprozesses zwischen dem Parlament und dem Rat geändert werden soll. Dem Parlament wird der Vorschlag zunächst zur ersten Lesung übermittelt, in der er akzeptiert oder geändert wird, bevor er zur eigenen ersten Lesung an den Rat weitergeleitet wird. Wenn der Rat den Standpunkt des Parlaments annimmt, ist das Gesetz verabschiedet. Wenn jedoch weitere Änderungen durch den Rat vorgenommen werden, treffen sich alle drei Gremien zu den Trilog-Verhandlungen. Es ist möglich, dass ein Rechtsakt sowohl vom Parlament als auch vom Rat in zweiter Lesung weitergeführt wird und sogar noch eine letzte Phase, die als Vermittlungsphase bezeichnet wird. Wenn das Gesetz zu irgendeinem Zeitpunkt nicht verabschiedet werden kann, kann es nur als neuer Vorschlag der Kommission wiederbelebt werden, um den gesamten Prozess erneut zu wiederholen.
Die DSGVO wurde ursprünglich von der Kommission im Januar 2012 vorgeschlagen, vom Parlament in erster Lesung im März 2014 geändert und zuletzt vom Rat in erster Lesung im Juni 2015 geändert. Die erste Trilog-Sitzung fand am 24. Juni, mit dem erklärten Ziel der drei EU-Gremien, bis Ende 2015 eine Einigung zu erzielen. Diese Verhandlungen können jedoch gemäß den in der Gemeinsamen Erklärung zur praktischen Umsetzung festgelegten Regeln von den Führern jeder Partei einvernehmlich verlängert werden Regelungen für das Mitentscheidungsverfahren, die die Trilog-Sitzungen regeln. Eine robustere Zeitleiste der Ereignisse für die DSGVO finden Sie hier, und eine Diskussion der Themen, über die wahrscheinlich am intensivsten diskutiert wurde, finden Sie hier.
Am 15. Dezember 2015 wurde eine politische Einigung erzielt, nach der die Verordnung im Januar 2016 von den Präsidenten und Generalsekretären des Parlaments und des Rates unterzeichnet werden muss. Zu diesem Zeitpunkt wird der Text im Amtsblatt der Europäischen Union veröffentlicht. Die Verordnung ist in der gesamten EU nach Ablauf der zweijährigen Nachfrist, die am Tag der Veröffentlichung beginnt, unmittelbar verbindlich.
Die Regulation
GDPR-Schlüsseländerungen. Ein Überblick über die wichtigsten Änderungen unter der DSGVO und wie sie sich von der vorherigen Richtlinie unterscheiden
Ziel der DSGVO ist es, alle EU-Bürger vor Datenschutz und Datenschutzverletzungen in der heutigen datengetriebenen Welt zu schützen. Obwohl die Grundprinzipien des Datenschutzes immer noch der vorherigen Richtlinie entsprechen, wurden zahlreiche Änderungen der Regulierungsrichtlinien vorgeschlagen. Die wichtigsten Punkte der DSGVO sowie Informationen zu den Auswirkungen auf die Geschäftstätigkeit sind nachstehend aufgeführt.
Erhöhter territorialer Geltungsbereich (extraterritoriale Anwendbarkeit): Die wohl größte Änderung in der Regulierungslandschaft des Datenschutzes ergibt sich aus der erweiterten Zuständigkeit der DSGVO, da diese für alle Unternehmen gilt, die personenbezogene Daten von in der Union ansässigen betroffenen Personen verarbeiten, unabhängig vom Unternehmen Standort. Zuvor war die räumliche Anwendbarkeit der Richtlinie nicht eindeutig und bezog sich auf den Datenprozess „im Kontext einer Einrichtung“. Dieses Thema ist in einer Reihe von hochrangigen Gerichtsverfahren aufgetaucht. Die DSGVO macht ihre Anwendbarkeit sehr deutlich - sie gilt für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche und Verarbeiter in der EU, unabhängig davon, ob die Verarbeitung in der EU erfolgt oder nicht. Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten betroffener Personen in der EU durch einen für die Verarbeitung Verantwortlichen oder Verarbeiter, der nicht in der EU niedergelassen ist Überwachung des Verhaltens innerhalb der EU. Nicht-EU-Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen ebenfalls einen Vertreter in der EU benennen.
Sanktionen: Unternehmen, die gegen die DSGVO verstoßen, können mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Mio. EUR (je nachdem, welcher Betrag höher ist) belegt werden. Dies ist die Höchststrafe, die für die schwerwiegendsten Verstöße verhängt werden kann, z. B. wenn der Kunde nicht ausreichend einwilligt, Daten zu verarbeiten oder gegen den Kern der Privacy by Design-Konzepte zu verstoßen. Es gibt einen abgestuften Bußgeldansatz, z. B. kann ein Unternehmen mit einer Geldstrafe von 2% belegt werden, wenn seine Aufzeichnungen nicht ordnungsgemäß geführt werden (Artikel 28), die Aufsichtsbehörde und die betroffene Person nicht über einen Verstoß informiert werden oder keine Folgenabschätzung durchgeführt wird. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Prozessoren gelten - was bedeutet, dass Clouds nicht von der GDPR-Durchsetzung ausgenommen sind.
Einwilligung: Die Einwilligungsbedingungen wurden verschärft, und Unternehmen können keine unleserlichen und langen Geschäftsbedingungen mehr verwenden, die voll von Rechtsprechung sind. Der Antrag auf Einwilligung muss in verständlicher und leicht zugänglicher Form mit dem der Einwilligung beigefügten Zweck der Datenverarbeitung gestellt werden. Die Einwilligung muss klar und von anderen Angelegenheiten unterscheidbar sein und in verständlicher und leicht zugänglicher Form in klarer und klarer Sprache erfolgen. Es muss so einfach sein, die Einwilligung zu widerrufen, wie sie zu erteilen.
Rechte der betroffenen Person
Benachrichtigung über Verstöße: Nach der DSGVO sind Verstöße nun in allen Mitgliedstaaten, in denen ein Verstoß gegen die Datenschutzbestimmungen wahrscheinlich „ein Risiko für die Rechte und Freiheiten von Personen darstellt“, obligatorisch. Dies muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes geschehen. Datenverarbeiter müssen auch ihre Kunden, die für die Verarbeitung Verantwortlichen, "unverzüglich" benachrichtigen, nachdem sie zum ersten Mal Kenntnis von einem Datenverstoß erlangt haben.
Auskunftsrecht: Zu den erweiterten Rechten der betroffenen Personen gemäß der DSGVO gehört das Recht der betroffenen Personen, vom für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob und zu welchem Zweck personenbezogene Daten über sie verarbeitet werden. Ferner stellt der für die Verarbeitung Verantwortliche eine kostenlose Kopie der personenbezogenen Daten in elektronischer Form zur Verfügung. Diese Änderung ist eine dramatische Verschiebung hin zu Datentransparenz und Befähigung der betroffenen Personen.
Recht auf Vergessenwerden: Das Recht auf Vergessenwerden, auch Datenlöschung genannt, berechtigt den Betroffenen, seine persönlichen Daten vom für die Datenverarbeitung Verantwortlichen löschen zu lassen, die weitere Verbreitung der Daten einzustellen und möglicherweise die Verarbeitung der Daten durch Dritte einzustellen. Die in Artikel 17 genannten Löschbedingungen beinhalten, dass die Daten für die ursprüngliche Verarbeitung nicht mehr relevant sind, oder dass eine betroffene Person ihre Zustimmung widerruft. Es ist auch zu beachten, dass die für die Verarbeitung Verantwortlichen verpflichtet sind, bei der Prüfung solcher Anfragen die Rechte der Betroffenen mit dem „öffentlichen Interesse an der Verfügbarkeit der Daten“ zu vergleichen.
Datenübertragbarkeit: Die DSGVO führt die Datenübertragbarkeit ein - das Recht einer betroffenen Person, die sie betreffenden personenbezogenen Daten zu erhalten -, die sie zuvor in einem „gebräuchlichen und maschinenlesbaren Format“ bereitgestellt hat und das Recht hat, diese Daten an einen anderen Verantwortlichen zu übertragen.
Privacy by Design: Privacy by Design als Konzept existiert seit Jahren, wird aber mit der DSGVO erst Teil einer gesetzlichen Anforderung. Privacy by Design erfordert im Kern die Einbeziehung des Datenschutzes von Beginn des Entwurfs von Systemen an und nicht eine Ergänzung. Genauer gesagt: „Der für die Verarbeitung Verantwortliche muss… auf wirksame Weise… geeignete technische und organisatorische Maßnahmen ergreifen, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.“ Artikel 23 fordert die für die Verarbeitung Verantwortlichen auf, nur die Daten zu speichern und zu verarbeiten, die für die Erfüllung ihrer Aufgaben unbedingt erforderlich sind (Datenminimierung), und den Zugang zu personenbezogenen Daten auf diejenigen zu beschränken, die die Verarbeitung durchführen müssen.
Datenschutzbeauftragte: Nach der DSGVO ist es nicht erforderlich, jeder lokalen Datenschutzbehörde Meldungen / Registrierungen über Datenverarbeitungsaktivitäten zu übermitteln, und es ist auch nicht erforderlich, Übertragungen auf der Grundlage der Mustervertragsklauseln (MCCs) zu melden / zu genehmigen. Stattdessen gibt es interne Aufzeichnungsanforderungen, die weiter unten erläutert werden, und die Ernennung von Datenschutzbeauftragten ist nur für die für die Verarbeitung Verantwortlichen und Verarbeiter obligatorisch, deren Haupttätigkeiten in Verarbeitungen bestehen, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang oder von Sonderkategorien erfordern Daten oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten.
______________________________________________________________________
ITALIAN | ITALIANO
Il regolamento generale sulla protezione dei dati dell'UE (GDPR)
Il processo
Il processo legislativo dell'Unione europea. Il processo legislativo ordinario in riferimento alla legislazione sulla privacy e sulla protezione dei dati
Il regolamento generale sulla protezione dei dati è attualmente sottoposto alla procedura legislativa ordinaria nei pertinenti organi legislativi dell'Unione. Come suggerisce il nome, questa è la forma più comune di creazione della legislazione poiché l'89% di tutte le proposte tra il 2009 e il 2014 ha subito questo processo. Attualmente, il GDPR ha appena raggiunto un accordo nella fase di negoziazione informale denominata "triloghi" in seguito all'adozione delle prime letture da parte sia del Parlamento che del Consiglio. Il seguente articolo delineerà le parti coinvolte nel processo legislativo, quali sono esattamente i risultati di questo regolamento fino ad ora e ciò che deve ancora venire.
Ci sono tre autorità europee ufficialmente responsabili del processo legislativo e due organi consultivi che vale la pena notare per il loro specifico rapporto con la privacy dei dati:
Corpi autorevoli
Commissione europea: la Commissione europea è l'organo esecutivo dell'UE. Rappresenta gli interessi dell'Unione europea nel suo complesso attraverso un totale di 28 commissari, uno per ogni stato membro e 23.000 membri dello staff. L'organismo lavora sulla base del processo decisionale collettivo per completare il proprio ruolo di proposta legislativa, rafforzando il diritto europeo (con l'aiuto della Corte di giustizia), rappresentando l'UE a livello internazionale, stabilendo obiettivi e gestendo le politiche dell'UE e il bilancio .
Parlamento europeo: il Parlamento europeo è l'unico organismo i cui membri sono eletti direttamente dai cittadini dell'UE. Il suo scopo è preservare la democrazia e rappresentare gli interessi della gente. Detiene il potere di approvare la legislazione, il bilancio dell'UE, il presidente e le nomine della Commissione. È composto da 751 membri, eletti a cinque anni, con rappresentanza basata sulla popolazione di ogni stato membro.
Consiglio dei ministri dell'Unione europea: il Consiglio dei ministri dell'Unione europea rappresenta i governi di ciascuno Stato membro. Condivide il potere di adozione per la legislazione e il bilancio con il Parlamento, e coordina anche le politiche per i singoli Stati membri, nonché la politica estera e di sicurezza per l'Unione. Sulla base di proposte della Commissione, il Consiglio è l'organo autorevole a concludere e firmare accordi internazionali. Alle riunioni del Consiglio partecipano rappresentanti (ministri o segretari di stato) che hanno il diritto di impegnare i loro paesi e esprimere il proprio voto.
Organi consultivi
Gruppo di lavoro articolo 29 per la protezione dei dati: il gruppo di lavoro articolo 29 è un organo consultivo istituito ai sensi della direttiva 95/46 / CE sulla protezione dei dati ed è composto da rappresentanti delle autorità nazionali di protezione dei dati (DPA), del GEPD e della Commissione europea. Il suo ruolo è di consigliare la Commissione in merito a questioni generali di protezione dei dati nonché a leggi dell'UE che potrebbero influire sulla riservatezza dei dati. Promuove inoltre l'applicazione uniforme della direttiva sulla protezione dei dati in tutta l'UE.
Garante europeo della protezione dei dati: il garante europeo della protezione dei dati è l'autorità indipendente di controllo istituita nel 2014 dal Parlamento e dal Consiglio per informare le amministrazioni dell'UE sul trattamento dei dati personali e supervisionare tali organismi per garantire la conformità ai propri regolamenti. Il GEPD tratta anche i reclami e monitora le nuove tecnologie relative al trattamento dei dati personali.
La procedura legislativa ordinaria copre la maggior parte del cosiddetto diritto derivato, che deriva dai principi e dagli obiettivi stabiliti nei trattati dell'UE e comprende regolamenti, direttive e decisioni. È sempre importante notare che il GDPR è un regolamento, che è immediatamente applicabile in tutta l'Unione, piuttosto che una direttiva, che deve essere recepita nel diritto nazionale da ogni singolo stato membro. Il processo inizia con una proposta della Commissione, che deve essere adottata, respinta o modificata attraverso un processo di codecisione tra il Parlamento e il Consiglio. In primo luogo, il Parlamento ha inviato la proposta per la sua prima lettura, alla quale accetta o fa emendamenti, prima di trasmetterla al Consiglio per la propria prima lettura. Se il consiglio adotta la posizione del Parlamento, la legislazione è approvata, tuttavia se ci sono ulteriori emendamenti apportati dal Consiglio, tutti e tre gli organismi si incontrano per i negoziati del trilogo. È possibile che un atto legislativo continui in seconda lettura sia dal Parlamento che dal Consiglio, e che sia ancora in una fase finale nota come fase di conciliazione. Se la legislazione non viene adottata in qualsiasi momento, può essere riesumata come una nuova proposta della Commissione, per ripetere nuovamente l'intero processo.
Il GDPR è stato inizialmente proposto dalla Commissione nel gennaio 2012, modificato dal Parlamento in prima lettura nel marzo 2014 e modificato di recente dal Consiglio in prima lettura nel giugno 2015. Il primo trilogo si è tenuto sul 24 giugno, con l'obiettivo dichiarato dai tre organi dell'UE di raggiungere un accordo entro la fine del 2015. Tuttavia, questi negoziati possono essere estesi mediante accordo tra i leader di ciascuna parte secondo le regole stabilite dalla Dichiarazione congiunta sulla Disposizioni per la procedura di codecisione, che disciplina le riunioni del trilogo. Una cronologia degli eventi più robusta per il GDPR può essere trovata qui, e una discussione degli argomenti che probabilmente sono stati il più dibattuto può essere trovata qui.
Un accordo politico è stato firmato il 15 dicembre 2015, lasciando il regolamento da firmare a gennaio 2016 dai presidenti e dai segretari generali del Parlamento e del Consiglio, momento in cui il testo sarà pubblicato nella Gazzetta ufficiale dell'Unione europea. Il regolamento sarà direttamente vincolante in tutta l'UE dopo il periodo di grazia di due anni a decorrere dalla data di pubblicazione.
Il regolamento
Cambiamenti chiave GDPR. Una panoramica delle principali modifiche apportate al GDPR e in che modo differiscono dalla precedente direttiva
L'obiettivo del GDPR è quello di proteggere tutti i cittadini dell'UE dalla privacy e dalle violazioni dei dati nel mondo odierno basato sui dati. Sebbene i principi chiave della privacy dei dati siano ancora fedeli alla direttiva precedente, sono state proposte molte modifiche alle politiche di regolamentazione; di seguito sono riportati i punti chiave del GDPR e informazioni sugli impatti che avrà sul business.
Aumento dell'ambito territoriale (applicabilità extraterritoriale): probabilmente il più grande cambiamento nel panorama normativo della privacy dei dati è rappresentato dall'estensione della giurisdizione del GDPR, in quanto si applica a tutte le società che trattano i dati personali degli interessati residenti nell'Unione, indipendentemente dalla società. Posizione. In precedenza, l'applicabilità territoriale della direttiva era ambigua e si riferiva al processo dei dati "nel contesto di uno stabilimento". Questo argomento è emerso in una serie di casi giudiziari di alto profilo. GDPR rende molto chiara la sua applicabilità - si applica al trattamento dei dati personali da parte dei responsabili del trattamento e dei processori nell'UE, indipendentemente dal fatto che l'elaborazione avvenga nell'UE o meno. Il GDPR si applica anche al trattamento dei dati personali delle persone interessate nell'UE da un responsabile del trattamento o un incaricato del trattamento non stabilito nell'UE, dove le attività riguardano: offrire beni o servizi ai cittadini dell'UE (indipendentemente dal fatto che il pagamento sia richiesto) e il monitoraggio dei comportamenti che avvengono all'interno dell'UE. Anche le imprese non UE che trattano i dati dei cittadini dell'UE devono nominare un rappresentante nell'UE.
Penalità: le organizzazioni che violano il GDPR possono essere multate fino al 4% del fatturato globale annuale o 20 milioni di euro (a seconda di quale sia maggiore). Questa è la sanzione massima che può essere imposta per le violazioni più gravi, ad esempio non avendo un sufficiente consenso del cliente per elaborare i dati o violare il nucleo della Privacy per concetti di design. Esiste un approccio a più livelli per le ammende, ad esempio una società può essere multata al 2% per non avere i propri record in ordine (articolo 28), non notificare all'autorità di vigilanza e alla persona interessata una violazione o non effettuare la valutazione dell'impatto. È importante notare che queste regole si applicano sia ai controller che ai processori, il che significa che le "nuvole" non sono esenti dall'applicazione di GDPR.
Consenso: le condizioni per il consenso sono state rafforzate e le aziende non sono più in grado di utilizzare termini e condizioni lunghi illeggibili pieni di legalese. La richiesta di consenso deve essere fornita in forma intelligibile e facilmente accessibile, con lo scopo di trattamento dei dati allegato a tale consenso. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e chiaro. Deve essere altrettanto facile ritirare il consenso, quanto farlo.
Diritti sull'oggetto dei dati
Notifica di violazione: ai sensi del GDPR, le notifiche di violazione sono ora obbligatorie in tutti gli Stati membri in cui una violazione dei dati può "comportare un rischio per i diritti e le libertà delle persone". Questo deve essere fatto entro 72 ore dalla prima volta che si è reso conto della violazione. I responsabili del trattamento dei dati sono inoltre tenuti a comunicare ai propri clienti, i responsabili del trattamento, "senza indebito ritardo" dopo aver preso conoscenza di una violazione dei dati.
Diritto di accesso: una parte dei diritti ampliati delle persone interessate dal GDPR è il diritto per gli interessati di ottenere dal responsabile del trattamento la conferma dell'esistenza o meno di dati personali che li riguardano, dove e per quale scopo. Inoltre, il responsabile del trattamento fornisce una copia dei dati personali, a titolo gratuito, in formato elettronico. Questo cambiamento è un cambiamento radicale nella trasparenza dei dati e nella responsabilizzazione degli interessati.
Diritto all'oblio: noto anche come cancellazione dei dati, il diritto all'oblio autorizza l'interessato a far sì che il responsabile del trattamento cancelli i suoi dati personali, cessare l'ulteriore diffusione dei dati e potenzialmente impedire a terzi di elaborare i dati. Le condizioni per la cancellazione, come indicato nell'articolo 17, includono i dati non più pertinenti ai fini originali per il trattamento o un interessato che ritira il consenso. Va inoltre notato che questo diritto richiede controller di confrontare i diritti dei soggetti a ‘l'interesse pubblico nella disponibilità dei dati’ quando si considera tali richieste.
Portabilità dei dati: GDPR introduce la portabilità dei dati - il diritto per un soggetto di dati di ricevere i dati personali che li riguardano - che hanno precedentemente fornito in un "formato comunemente utilizzabile e leggibile dalla macchina" e ha il diritto di trasmettere tali dati a un altro controllore.
Privacy by Design: la privacy in base al design come un concetto esiste da anni, ma sta solo diventando parte di un requisito legale con il GDPR. Al suo interno, la privacy by design richiede l'inclusione della protezione dei dati fin dall'inizio della progettazione dei sistemi, piuttosto che un'aggiunta. Più in particolare, "Il responsabile del trattamento deve ... attuare misure tecniche e organizzative adeguate ... in modo efficace ... al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati". L'articolo 23 richiede che i responsabili del trattamento conservino e trattino solo i dati assolutamente necessari per l'adempimento dei propri compiti (riduzione dei dati), nonché la limitazione dell'accesso ai dati personali a coloro che devono eseguire l'elaborazione.
Responsabili della protezione dei dati: in base a GDPR non è necessario inviare notifiche / registrazioni a ciascun DPA locale delle attività di elaborazione dei dati, né è necessario notificare / ottenere l'approvazione per i trasferimenti in base alle Clausole contrattuali tipo (MCC). Esistono invece requisiti interni per la conservazione dei documenti, come spiegato di seguito, e l'incarico di DPO è obbligatorio solo per i responsabili del trattamento e dei processori le cui attività principali consistono in operazioni di trattamento che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o di categorie speciali di dati o dati relativi a condanne penali e reati.
_______________________________________________________________________
RUSSIAN | РУССКИЙ
Общее положение ЕС о защите данных (GDPR)
Процесс
Законодательный процесс Европейского Союза. Обычный законодательный процесс в части, касающейся законодательства о конфиденциальности и защите данных
Общее положение о защите данных в настоящее время проходит обычную законодательную процедуру в соответствующих законодательных органах Союза. Как следует из названия, это наиболее распространенная форма создания законодательства, поскольку 89% всех предложений в период с 2009 по 2014 годы проходили этот процесс. В настоящее время GDPR только что достигли соглашения на этапе неформальных переговоров, называемых «трилогами», после принятия первых чтений как Парламентом, так и Советом. В следующей статье будут изложены стороны, участвующие в законодательном процессе, через что именно прошло это регулирование и что еще впереди.
Есть три европейских органа, официально ответственных за законодательный процесс, и два консультативных органа, которые следует отметить за их специфическое отношение к конфиденциальности данных:
Авторитетные органы
Европейская комиссия: Европейская комиссия является исполнительным органом ЕС. Он представляет интересы Европейского Союза в целом через 28 комиссаров, по одному от каждого государства-члена и 23 000 сотрудников. Этот орган работает на основе коллективного принятия решений, чтобы выполнить свои функции по предложению законодательства, обеспечению соблюдения европейского права (с помощью Суда), представлению ЕС на международном уровне, постановке целей и управлению политикой ЕС и бюджетом ,
Европейский парламент: Европейский парламент является единственным органом, члены которого избираются гражданами ЕС. Его цель - сохранить демократию и представлять интересы народа. Он обладает полномочиями по принятию законодательства, бюджета ЕС, а также президенту и назначениям Комиссии. Он состоит из 751 члена, избираемых на пятилетний срок, с представительством, основанным на населении каждого государства-члена.
Совет министров Европейского союза: Совет министров Европейского союза представляет правительства каждого государства-члена. Он разделяет полномочия по принятию законодательства и бюджета с Парламентом, а также координирует политику отдельных государств-членов, а также внешнюю политику и политику безопасности Союза. На основании предложений Комиссии Совет является авторитетным органом для заключения и подписания международных соглашений. На заседаниях совета присутствуют представители (министры или государственные секретари), которые имеют право отдать свои страны и отдать свой голос.
Консультативные органы
Статья 29 Рабочая группа по защите данных: Рабочая группа по Статье 29 является консультативным органом, созданным в соответствии с Директивой о конфиденциальности данных 95/46 / EC, и состоит из представителей национальных органов по защите данных (DPA), EDPS и Европейской комиссии. Его роль заключается в консультировании Комиссии по общим вопросам защиты данных, а также по законам ЕС, которые могут повлиять на конфиденциальность данных. Это также способствует единообразному применению Директивы о защите данных во всем ЕС.
Европейский супервизор по защите данных: Европейский супервизор по защите данных - это независимый надзорный орган, созданный в 2014 году Парламентом и Советом для консультирования администраций ЕС по обработке персональных данных, а также надзора за этими органами для обеспечения соблюдения их собственных нормативных актов. EDPS также обрабатывает жалобы и отслеживает новые технологии, связанные с обработкой персональных данных.
Обычная законодательная процедура охватывает большую часть так называемого подзаконного акта, который вытекает из принципов и целей, изложенных в договорах ЕС, и включает в себя положения, директивы и решения. Всегда важно отметить, что GDPR - это регулирование, которое незамедлительно применяется по всему Союзу, а не директива, которая должна быть перенесена в национальное законодательство каждым отдельным государством-членом. Процесс начинается с предложения Комиссии, которое должно быть принято, отклонено или изменено в процессе совместного принятия решений между Парламентом и Советом. Парламент сначала направляет это предложение, чтобы провести его первое чтение, в которое он принимает или вносит поправки, прежде чем передать его Совету для его собственного первого чтения. Если совет принимает позицию парламента, законодательство принимается, однако, если в Совет вносятся какие-либо дополнительные поправки, все три органа собираются для переговоров по трилогии. Вполне возможно, что законодательный акт будет продолжен во втором чтении как Парламентом, так и Советом, и даже по-прежнему будет заключительным этапом, известным как этап примирения. Если законодательство не будет принято на каком-либо этапе, его можно воскресить только как новое предложение Комиссии, чтобы повторить весь процесс снова.
Первоначально ВВПР был предложен Комиссией в январе 2012 года, с поправками, внесенными Парламентом в первом чтении в марте 2014 года, и последними поправками, внесенными Советом в первом чтении в июне 2015 года. Первое совещание по трилогии было проведено 24 июня, с заявленной целью трех органов ЕС достичь соглашения к концу 2015 года. Однако эти переговоры могут быть продлены по договоренности между лидерами каждой из сторон в соответствии с правилами, изложенными в Совместной декларации о практической деятельности. Организация процедуры Codecision, которая регулирует трилогические встречи. Более точный график событий для GDPR можно найти здесь, а обсуждение тем, которые, вероятно, были наиболее интенсивно обсуждаемыми, можно найти здесь.
15 декабря 2015 года было заключено политическое соглашение, в соответствии с которым в январе 2016 года президенты и генеральные секретари парламента и Совета должны подписать постановление, после чего текст будет опубликован в Официальном журнале Европейского союза. Регламент будет иметь обязательную силу на всей территории ЕС после двухлетнего льготного периода, начинающегося с даты публикации.
Регулирование
Ключевые изменения GDPR. Обзор основных изменений в рамках GDPR и того, как они отличаются от предыдущей директивы
Целью GDPR является защита всех граждан ЕС от неприкосновенности частной жизни и нарушений данных в современном мире, управляемом данными. Хотя ключевые принципы конфиденциальности данных остаются в силе с предыдущей директивой, было предложено много изменений в нормативной политике; Ключевые пункты GDPR, а также информация о том, какое влияние это окажет на бизнес, можно найти ниже.
Расширение территориального охвата (экстерриториальное применение): возможно, самое большое изменение в нормативном ландшафте конфиденциальности данных происходит с расширенной юрисдикцией GDPR, поскольку она применяется ко всем компаниям, обрабатывающим персональные данные субъектов данных, проживающих в Союзе, независимо от компании. место нахождения. Ранее территориальная применимость директивы была неоднозначной и относилась к обработке данных «в контексте учреждения». Эта тема возникла в ряде громких судебных дел. GDPR делает его применимость очень ясной - это относится к обработке персональных данных контроллерами и процессорами в ЕС, независимо от того, происходит ли обработка в ЕС или нет. GDPR также применяется к обработке персональных данных субъектов данных в ЕС контроллером или процессором, не установленным в ЕС, где деятельность связана с: предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата) и мониторинг поведения, происходящего в ЕС. Предприятия не из ЕС, обрабатывающие данные граждан ЕС, также должны назначить представителя в ЕС.
Наказания. Организации, нарушающие GDPR, могут быть оштрафованы на сумму до 4% годового мирового оборота или 20 миллионов евро (в зависимости от того, что больше). Это максимальный штраф, который может быть наложен за наиболее серьезные нарушения, например, при наличии достаточного согласия клиента для обработки данных или нарушения сути концепции конфиденциальности посредством дизайна. Существует многоуровневый подход к штрафам, например, компания может быть оштрафована на 2% за то, что она не ведет свои записи в порядке (статья 28), не уведомляя надзорный орган и субъект данных о нарушении или не проводит оценку воздействия. Важно отметить, что эти правила применяются как к контроллерам, так и к процессорам - это означает, что «облака» не освобождаются от применения GDPR.
Согласие: условия для согласия были усилены, и компании больше не могут использовать длинные неразборчивые условия, полные юридического языка. Запрос о согласии должен быть представлен в понятной и легко доступной форме с целью обработки данных, прилагаемой к этому согласию. Согласие должно быть четким и отличимым от других вопросов и предоставляться в понятной и легкодоступной форме, используя ясные и понятные формулировки. Отозвать согласие должно быть так же легко, как и дать его.
Права субъекта данных
Уведомление о нарушении: в соответствии с GDPR уведомления о нарушениях теперь являются обязательными во всех государствах-членах, где нарушение данных может «привести к риску для прав и свобод людей». Это должно быть сделано в течение 72 часов после того, как стало известно о нарушении. Обработчики данных также обязаны уведомлять своих клиентов, контроллеров, «без неоправданной задержки» после того, как им впервые стало известно о взломе данных.
Право на доступ. Часть расширенных прав субъектов данных, обозначенных GDPR, представляет собой право субъектов данных получать подтверждение от контроллера данных о том, обрабатывается ли персональные данные, касающиеся их, где и с какой целью. Кроме того, контроллер должен бесплатно предоставить копию личных данных в электронном формате. Это изменение является резким переходом к прозрачности данных и расширению прав и возможностей субъектов данных.
Право быть забытым: также известное как стирание данных, право быть забытым дает субъекту данных право на то, чтобы контроллер данных стер его / ее личные данные, прекратил дальнейшее распространение данных и потенциально мог остановить обработку данных третьими лицами. Условия для стирания, как указано в статье 17, включают в себя данные, более не относящиеся к первоначальным целям обработки, или субъект, отозвавший согласие. Следует также отметить , что это право требует контроллеров для сравнения прав испытуемых на „общественный интерес в доступности данных“ при рассмотрении таких запросов.
Переносимость данных: GDPR вводит переносимость данных - право субъекта данных получать персональные данные о них - которые они ранее предоставили в «широко используемом и машиночитаемом формате» и имеют право передавать эти данные другому контроллеру.
Конфиденциальность по замыслу. Конфиденциальность по замыслу как концепция существует годами, но она только становится частью законодательного требования к GDPR. По своей сути, конфиденциальность по замыслу требует включения защиты данных с самого начала проектирования систем, а не дополнения. В частности, «Контролер должен… осуществлять соответствующие технические и организационные меры… эффективным образом… для того, чтобы соответствовать требованиям настоящего Регламента и защищать права субъектов данных». В статье 23 содержится призыв к контролерам хранить и обрабатывать только те данные, которые абсолютно необходимы для выполнения его обязанностей (минимизация данных), а также ограничивать доступ к персональным данным для тех, кому необходимо выполнить обработку.
Сотрудники по защите данных: в рамках GDPR нет необходимости отправлять уведомления / регистрации каждому местному DPA о деятельности по обработке данных, а также не требуется уведомлять / получать одобрение для передач на основе Типовых условий контрактов (MCC). Вместо этого существуют внутренние требования к ведению записей, как более подробно объясняется ниже, и назначение DPO является обязательным только для тех контроллеров и процессоров, основная деятельность которых состоит из операций обработки, которые требуют регулярного и систематического мониторинга субъектов данных в большом масштабе или специальных категорий данные или данные, касающиеся уголовных приговоров и правонарушений.
______________________________________________________________________
TURKISH | TÜRK
EU Genel Veri Koruma Yönetmeliği (GDPR)
Süreç
Avrupa Birliği Yasama Süreci. Gizlilik ve Veri Koruma mevzuatı ile ilgili Olağan Yasama Süreci
Genel Veri Koruma Yönetmeliği şu anda ilgili Birlik yasama organları içerisinde Olağan Yasama Prosedürü'nden geçmektedir. Adından da anlaşılacağı gibi, 2009-2014 arasındaki tüm tekliflerin% 89'u bu süreçten geçtiğinden en yaygın yasal düzenleme şekli budur. Halen, GSYİH, hem Parlamento hem de Konsey tarafından ilk okumaların kabul edilmesinin ardından “Üçlemeler” olarak adlandırılan gayrı resmi müzakere aşamasında yeni bir anlaşmaya varmıştır. Aşağıdaki makale yasama sürecine dahil olan tarafları, bu düzenlemenin şu ana kadar ne yürüdüğünü ve henüz ne gelmeyeceğini ana hatlarıyla açıklayacaktır.
Yasama sürecinden resmen sorumlu olan üç Avrupa makamı ve veri gizliliği ile ilgili özel ilişkilerine dikkat çeken iki danışma organı vardır:
Yetkili organlar
Avrupa Komisyonu: Avrupa Komisyonu, AB'nin yürütme organıdır. Avrupa Birliği'nin çıkarlarını, her bir üye devletten biri olan ve 23.000 personelden oluşan toplam 28 komisyoncu aracılığıyla temsil eder. Organ, mevzuat önerme, Avrupa yasalarını yürürlüğe koyma (Adalet Divanı'nın yardımıyla), AB'yi uluslararası olarak temsil etme, hedefleri belirleme ve AB politikalarını ve bütçesini yönetme rollerini tamamlamak için toplu karar alma temelinde çalışır. .
Avrupa Parlamentosu: Avrupa Parlamentosu, üyeleri doğrudan AB vatandaşları tarafından seçilen tek organdır. Amaç demokrasiyi korumak ve halkın çıkarlarını temsil etmektir. Mevzuat, AB bütçesi ve Komisyon Başkanı ve atamaları konusunda yetki sahibidir. Her üye ülkenin nüfusuna dayanan temsili ile beş yıl için seçilen 751 üyeden oluşur.
Avrupa Birliği Bakanlar Konseyi: Avrupa Birliği Bakanlar Konseyi, her üye devletin hükümetlerini temsil eder. Mevzuatın kabul edilme yetkisini ve bütçeyi Parlamento ile paylaşır ve ayrıca üye ülkeler için politika ve Birliğin dış politikasını da koordine eder. Komisyonun tekliflerine dayanarak, Konsey, uluslararası anlaşmalar imzalayıp imzalayacak yetkili organdır. Konsey toplantılarına, ülkelerini taahhüt etme ve oy kullanma hakkı olan temsilciler (bakanlar veya devlet sekreterleri) katılmaktadır.
Danışma organları
Madde 29 Veri Koruma Çalışma Grubu: Madde 29 Çalışma Grubu, 95/46 / EC Veri Gizlilik Direktifi kapsamında oluşturulan ve danışma organıdır ve ulusal veri koruma otoriteleri (DPA), EDPS ve Avrupa Komisyonu temsilcilerinden oluşur. Görevi, Komisyon'a, veri gizliliğini etkileyebilecek yasaların yanı sıra genel veri koruma konularında tavsiyelerde bulunmaktır . Aynı zamanda, Veri Koruma Direktifi’nin tüm AB’de üniform uygulanmasını teşvik eder.
Avrupa Veri Koruma Denetmeni: Avrupa Veri Koruma Denetçisi, 2014 yılında Parlamento ve Konsey tarafından, kişisel yönetmeliklere uymalarını sağlamak için bu organları denetlemenin yanı sıra kişisel verilerin işlenmesi konusunda AB yönetimlerine tavsiyelerde bulunmak üzere kurulan bağımsız denetim otoritesidir. EDPS ayrıca şikayetleri ele alır ve kişisel verilerin işlenmesiyle ilgili yeni teknolojileri izler.
Olağan yasama prosedürü, AB Antlaşmalarında belirtilen prensip ve amaçlardan türetilen ve düzenlemeleri, direktifleri ve kararları içeren ikincil yasa olarak bilinenlerin çoğunu kapsar. GSYİH'nın her bir üye devlet tarafından ulusal yasalara aktarılması gereken bir direktif yerine derhal Birlik genelinde geçerli olan bir düzenleme olduğunu not etmek her zaman önemlidir. Süreç, Parlamento ile Konsey arasındaki ortak karar sürecinde ya kabul edilecek, reddedilecek ya da değiştirilecek bir Komisyon önerisi ile başlar. Parlamentoya, ilk okumasını yapmak üzere kabul ettiği veya üzerinde değişiklik yapan ilk okumasını yapmak için önce kendi ilk okuması için Konseye iletme teklifi sunulur. Konseyin Parlamentonun tutumunu benimsemesi durumunda, yasalar kabul edilir, ancak Konsey tarafından daha fazla değişiklik yapılması durumunda, üç organın tümü Üçlü müzakereler için toplanır. Hem Parlamento hem de Konsey tarafından ikinci bir okumaya devam edilmesi ve hatta Uzlaşma aşaması olarak bilinen son bir aşamaya devam edilmesi mümkündür. Mevzuatın herhangi bir aşamada kabul edilmemesi durumunda, tüm süreci tekrar etmek için ancak Komisyon'dan yeni bir teklif olarak diriltilebilir.
GDPR ilk olarak Ocak 2012'de Komisyon tarafından önerilmiş, 2014 yılının Mart ayında Parlamentonun ilk okumasında değiştirilmiş ve en son 2015 Haziran'ında ilk okumasında Konsey tarafından değiştirilmiştir. 24 Haziran’da, üç AB kuruluşundan 2015 yılı sonuna kadar bir anlaşmaya varılması hedefinin belirtildiği bir hedef var. Bununla birlikte, bu müzakereler, her bir tarafın liderleri arasındaki Uygulamalı Ortak Beyanname’nin öngördüğü kurallar uyarınca anlaşarak uzatılabilir. Trilogue toplantılarını düzenleyen Yasama Prosedürü için düzenlemeler. GSYİH için daha sağlam bir olay çizelgesi burada bulunabilir ve en yoğun tartışılan konular hakkında bir tartışma burada bulunabilir.
15 Aralık 2015 tarihinde, Ocak 2016'da hem Parlamento hem de Konsey Genel Başkanları ve Sekreterleri tarafından imzalanacak düzenlemenin bırakılacağı ve metnin Avrupa Birliği Resmi Gazetesinde yayınlanacağı bir siyasi anlaşma yapılmıştır. Düzenleme, yayınlanma tarihinden itibaren başlayan iki yıllık ödemesiz süreyi takiben AB genelinde doğrudan bağlayıcı olacaktır.
Düzenleme
GSYİH Anahtar Değişiklikleri. GSYİH altındaki ana değişikliklere genel bakış ve bunların önceki direktiften nasıl farklı olduğu
GSYİH'nın amacı, bugünün veri odaklı dünyasında tüm AB vatandaşlarını mahremiyet ve veri ihlallerinden korumaktır. Her ne kadar veri gizliliğinin temel ilkeleri önceki yönergeye uymaya devam etse de, düzenleyici politikalarda birçok değişiklik önerilmiştir; GSYİH'nın kilit noktaları ve işletme üzerindeki etkileri hakkında bilgiler aşağıda yer almaktadır.
Arttırılmış Bölgesel Kapsam (dünya dışı uygulanabilirlik): Muhtemelen veri gizliliğinin düzenleyici peyzajındaki en büyük değişiklik, şirketten bağımsız olarak, Birlik'te bulunan veri konularının kişisel verilerini işleyen tüm şirketler için geçerli olduğu için GSYİH'nın genişletilmiş yetkisi ile birliktedir. yer. Önceden, direktifin bölgesel uygulanabilirliği belirsizdi ve 'bir kurum bağlamında' veri işlemine yönlendiriliyordu. Bu konu, bir çok yüksek profilli mahkeme davasında ortaya çıkmıştır. GDPR uygulanabilirliğini çok net bir şekilde ortaya koyuyor - işlemlerin AB'de gerçekleşip gerçekleşmediğine bakılmaksızın, AB'deki kontrolörler ve işlemciler tarafından kişisel verilerin işlenmesi için geçerlidir. GSYİH ayrıca, AB’de yerleşik olmayan bir denetleyici veya işlemci tarafından AB’deki veri konularının kişisel verilerinin işlenmesi için de geçerlidir; burada faaliyetler aşağıdakilerle ilgilidir: AB vatandaşlarına mal veya hizmet sunmak (ödemenin gerekli olup olmadığına bakılmaksızın) ve AB içerisinde gerçekleşen davranışların izlenmesi. AB vatandaşlarının verilerini işleyen AB dışı işletmeler de AB’de bir temsilci atamak zorundadır.
Cezalar: GSYİH'ya aykırı örgütler, yıllık küresel cironun% 4'üne veya 20 Milyon Euro'ya (hangisi daha büyükse) kadar para cezasına çarptırılabilir. Bu, verileri işlemek veya Gizlilik kavramının Tasarım kavramlarıyla gizliliğini ihlal etmek için yeterli müşteri onayına sahip olan en ciddi ihlaller için uygulanabilecek en yüksek para cezasıdır. Para cezalarına ilişkin kademeli bir yaklaşım söz konusudur; örneğin, bir şirket sicillerini saklamak için% 2 para cezasına çarptırılabilir (madde 28), denetleme makamına ve ihlal hakkında bir değerlendirme yapılmaması veya etki değerlendirmesi yapılmamasına ilişkin veriler bildirilmez. Bu kuralların hem denetleyiciler hem de işlemciler için geçerli olduğuna dikkat etmek önemlidir - 'bulutlar' anlamına gelir ve GSYH yaptırımından muaf değildir.
Rıza: Rıza koşulları güçlendirilmiştir ve şirketler artık okunaksız hüküm ve hükümleri hukuki şartlarla kullanamamaktadır. Rıza talebi, rızaya bağlı veri işleme amacıyla anlaşılır ve kolay erişilebilir bir biçimde verilmelidir. Onay, açık ve sade bir dil kullanarak anlaşılabilir ve kolay anlaşılabilir bir biçimde sunulmalı ve diğer hususlardan ayırt edilmelidir. İznini geri vermek, vermek olduğu kadar kolay olmalı.
Veri Konusu Hakları
İhlal Bildirimi: GSYİH uyarınca, ihbar bildirimleri artık bir veri ihlalinin “bireylerin hak ve özgürlükleri için bir risk oluşturması muhtemel” tüm üye ülkelerde zorunludur. Bu, ihlalin farkına vardıktan sonraki 72 saat içinde yapılmalıdır. Veri işlemcilerinin, ilk önce bir veri ihlali olduğunun farkına vardıktan sonra müşterilerini, denetleyicileri “gereksiz gecikmeden” bilgilendirmeleri gerekir.
Erişim Hakkı: GSYİH tarafından belirtilen veri konularının genişletilmiş haklarının bir kısmı, veri konularının veri denetleyicisinden kendileri ile ilgili kişisel verilerin işlenip işlenmediğine, nerede ve ne amaçla işlendiğine dair onay alma hakkıdır. Ayrıca, kontrol cihazı kişisel verilerin bir kopyasını ücretsiz olarak elektronik formatta vermelidir. Bu değişiklik, veri şeffaflığına ve veri konularının güçlendirilmesine dramatik bir kaymadır.
Unutulma Hakkı: Veri Silme olarak da bilinir, unutulma hakkı, veri denetleyicisinin kişisel verilerini silmesine, verinin daha fazla yayılmasına son vermesine ve potansiyel olarak üçüncü tarafların verilerin işlenmesini durdurmasına izin verir. Silme koşulları, 17. maddede belirtildiği gibi, artık işleme için orijinal amaçlarla ilgili olmayan verileri veya rıza çeken bir veriyi içerir. Ayrıca , bu hakkın, denetçilerden, bu talepleri göz önüne alırken, deneklerin haklarını “verilerin erişilebilirliğine kamu yararı” ile karşılaştırmalarını gerektirdiği belirtilmelidir.
Veri Taşınabilirliği: GDPR, daha önce 'yaygın olarak kullanılan ve makinede okunabilen bir formatta sağladıkları ve bu verileri başka bir denetleyiciye aktarma hakkına sahip oldukları' veri öznesiyle ilgili verileri alma hakkı olan veri taşınabilirliğini ortaya koyuyor.
Tasarıma Göre Gizlilik: Tasarıma göre bir kavram olarak tasavvuf yıllardır mevcuttur, ancak bu sadece GSYİH ile yasal bir zorunluluk haline geliyor. Özünde, tasarım gereği mahremiyet, bir ekleme yerine, sistem tasarımının başlangıcından itibaren veri korumanın dahil edilmesini gerektirir. Daha spesifik olarak, 'Kontrolör… bu Yönetmeliğin gerekliliklerini yerine getirmek ve veri konularının haklarını korumak için… uygun teknik ve organizasyonel önlemleri… etkili bir şekilde uygulamalıdır ”. Madde 23, denetçilerden sadece görevlerini tamamlamaları için gerekli veriyi tutması ve işlemesi için çağrıda bulunur (veri küçültme) ve kişisel işlemlere erişimi işlemeye ihtiyaç duyanlara erişimi sınırlandırır.
Veri Koruma Görevlileri: GSYİH kapsamında, veri işleme faaliyetlerinin her bir yerel DPA'sına bildirim / kayıt yapılması veya Model Sözleşme Cetvellerine (MCC'ler) dayanan transferler için onay bildirme / onaylama şartı aranmaz. Bunun yerine, aşağıda daha ayrıntılı olarak açıklandığı gibi dahili kayıt tutma gereklilikleri vardır ve DPO ataması yalnızca, temel faaliyetleri büyük ölçekte veya özel kategorilerdeki veri konularının düzenli ve sistematik olarak izlenmesini gerektiren işleme işlemlerinden oluşan denetleyiciler ve işlemciler için zorunludur. cezai mahkumiyet ve suçlarla ilgili veri veya veriler.
______________________________________________________________________
UKRAINIAN | УКРАЇНСЬКИЙ
Загальний регламент захисту даних ЄС (GDPR)
Процес
Законодавчий процес Європейського Союзу. Звичайний законодавчий процес, що стосується законодавства про конфіденційність та захист даних
Положення про загальний захист даних в даний час проходить звичайний законодавчий процес у відповідних законодавчих органах Союзу. Як випливає з назви, це є найбільш поширеною формою створення законодавства, оскільки 89% усіх пропозицій у період з 2009 по 2014 рік пройшли цей процес. В даний час ГРП тільки що досяг угоди у неформальній стадії переговорів, що називається «трилогами», після прийняття перших читань як Парламентом, так і Радою. У наступній статті буде викладено сторони, які беруть участь у законодавчому процесі, що саме цей регламент пройшов до цих пір, і що ще попереду.
Є три європейські органи, які офіційно відповідають за законодавчий процес, і два консультативні органи, які заслуговують уваги на їх особливе ставлення до конфіденційності даних:
Авторитетні органи
Європейська Комісія: Європейська Комісія є виконавчим органом ЄС. Вона представляє інтереси Європейського Союзу в цілому через 28 комісарів, по одному від кожної держави-члена і 23 000 співробітників. Орган працює на основі колективного прийняття рішень для того, щоб виконати свої ролі, запропонувати законодавство, забезпечити дотримання європейського права (за допомогою Суду), представляти ЄС на міжнародному рівні, встановлювати цілі та керувати політикою ЄС та бюджетом. .
Європейський парламент: Європейський парламент є єдиним органом, члени якого безпосередньо обираються громадянами ЄС. Її метою є збереження демократії та представлення інтересів людей. Вона володіє повноваженнями щодо прийняття законодавства, бюджету ЄС, а також президента і призначень Комісії. Вона складається з 751 члена, обраних на п'ятирічний термін, з представництвом, заснованим на кількості населення кожної держави-члена.
Рада міністрів Європейського Союзу: Рада міністрів Європейського Союзу представляє уряди кожної держави-члена. Він розділяє повноваження парламенту щодо прийняття законодавства та бюджету, а також координує політику для окремих держав-членів, а також зовнішню та безпекову політику Союзу. На основі пропозицій Комісії Рада є авторитетним органом для укладення та підписання міжнародних угод. На засіданнях ради беруть участь представники (міністри або державні секретарі), які мають право здійснювати свої країни і голосувати.
Консультативні органи
Стаття 29 Робоча група з питань захисту даних: Робоча група статті 29 є консультативним органом, створеним відповідно до Директиви 95/46 / ЄС про конфіденційність даних і складається з представників національних органів захисту даних (DPA), ЄКЗД та Європейської комісії. Його роль полягає у наданні консультацій Комісії з питань загального захисту даних , а також законів ЄС, які можуть вплинути на конфіденційність даних. Вона також сприяє єдиному застосуванню Директиви про захист даних по всьому ЄС.
Європейський наглядовий орган з питань захисту даних: Європейський наглядовий орган з питань захисту даних є незалежним наглядовим органом, створеним у 2014 році Парламентом і Радою з метою консультування адміністрацій ЄС щодо обробки персональних даних, а також нагляду за цими органами з метою забезпечення дотримання їх власних правил. ЄКЗД також розглядає скарги та контролює нові технології, пов'язані з обробкою персональних даних.
Звичайна законодавча процедура охоплює більшість того, що називається вторинним законодавством, яке випливає з принципів і цілей, викладених у Договорах ЄС, і включає в себе правила, директиви та рішення. Це завжди важливо відзначити, що ВВП є регулюванням, яке безпосередньо застосовується в усьому Союзі, а не в директиві, яка повинна бути перекладена в національне законодавство кожною окремою державою-членом. Процес починається з пропозиції Комісії, яка має бути або прийнята, або відхилена, або змінена через процес спільного вирішення між Парламентом та Радою. Парламент спочатку направляє пропозицію для того, щоб зробити своє перше читання, до якого приймає або вносить поправки, перш ніж передати його на розгляд Ради на власне перше читання. Якщо Рада ухвалить позицію Парламенту, законодавство буде прийняте, однак, якщо будуть внесені будь-які подальші зміни Радою, то всі три органи зустрінуться на переговорах трилога. Можна, щоб частина законодавства продовжила друге читання як Парламентом, так і Радою, і навіть останньою стадією, відомою як етап примирення. Якщо законодавство не може бути прийняте на будь-якій стадії, воно може бути відроджене лише як нова пропозиція від Комісії, щоб повторити весь процес знову.
Початково запропонований Комісією ВВП у січні 2012 року, який був змінений Парламентом у першому читанні у березні 2014 року, а останній внесений до змін у Раді у першому читанні у червні 2015 року. 24 червня, із задекларованою метою з трьох органів ЄС досягти домовленості до кінця 2015 року. Проте ці переговори можуть бути продовжені за згодою між лідерами кожної сторони відповідно до правил, встановлених Спільною декларацією про практичні Порядок процедур спільного вирішення, які регулюють засідання трилога. Тут можна знайти більш чіткий графік подій для ВВП, і тут можна знайти обговорення тем, які, ймовірно, були найбільш інтенсивно обговорюваними.
15 грудня 2015 року було укладено політичну угоду, яка у січні 2016 року була підписана президентами та генеральними секретарями Парламенту та Ради, після чого текст буде опублікований в Офіційному віснику Європейського Союзу. Положення буде безпосередньо обов'язковим для всього ЄС після дворічного пільгового періоду, що починається з дати публікації.
Положення
Ключові зміни ВВП. Огляд основних змін за ВВП та їх відмінність від попередньої директиви
Метою ВВП є захист всіх громадян ЄС від порушень конфіденційності та даних у сучасному, керованому даними світі. Незважаючи на те, що основні принципи конфіденційності даних досі дотримуються попередньої директиви, до регуляторної політики було запропоновано багато змін; ключові пункти ВВП, а також інформація про вплив, який вона матиме на бізнес, можна знайти нижче.
Збільшення територіальної сфери застосування (екстериторіальне застосування): мабуть, найбільша зміна регуляторного ладу конфіденційності даних поширюється на розширену юрисдикцію ВВП, оскільки вона застосовується до всіх компаній, які обробляють персональні дані суб'єктів даних, що проживають в Союзі, незалежно від компанії Розташування. Раніше територіальна застосовність директиви була неоднозначною і посилалася на процес передачі даних «в контексті установи». Ця тема виникла у низці судових справ, що мають високий рівень. GDPR робить його застосування дуже чітким - він застосовується до обробки персональних даних контролерами та процесорами в ЄС, незалежно від того, чи обробка відбувається в ЄС чи ні. ВВП також поширюється на обробку персональних даних суб'єктів даних в ЄС контролером або процесором, не створеним в ЄС, де діяльність пов'язана з: наданням товарів або послуг громадянам ЄС (незалежно від того, чи потрібна оплата) і моніторинг поведінки, що відбувається в межах ЄС. Підприємства, що не входять до ЄС, які обробляють дані громадян ЄС, також повинні призначити представника в ЄС.
Штрафні санкції: Організації, які порушують вимоги ВВП, можуть бути оштрафовані до 4% річного глобального обороту або 20 мільйонів євро (залежно від того, що більше). Це максимальний штраф, який може бути накладений на найсерйозніші порушення, наприклад, не мати достатньої згоди клієнта на обробку даних або порушення основних принципів Конфіденційності проектом. Існує багаторівневий підхід до штрафів, наприклад, компанія може бути оштрафована на 2% за відсутність їхнього порядку (стаття 28), не повідомляючи контролюючому органу та суб'єкту даних про порушення або не проводить оцінку впливу. Важливо відзначити, що ці правила застосовуються як до контролерів, так і до процесорів, тобто "хмари" не звільняються від виконання вимог GDPR.
Згода: Умови для згоди були посилені, і компанії більше не можуть використовувати довгі нерозбірливі умови, повні юридичних. Запит на згоду повинен бути наданий у зрозумілій і легкодоступній формі з метою обробки даних, що додається до цієї згоди. Згода повинна бути зрозумілою і відмінною від інших питань і надаватися в зрозумілій і легкодоступній формі, використовуючи чітку та зрозумілу мову. Звільнення згоди має бути таким же легким, наскільки це необхідно дати.
Права суб'єкта даних
Повідомлення про порушення: згідно з нормативним документом, повідомлення про порушення є обов'язковими для всіх держав-членів, де порушення даних може призвести до ризику для прав і свобод окремих осіб. Це має бути зроблено протягом 72 годин після того, як Ви дізналися про порушення. Процесори даних також зобов'язані повідомляти своїх клієнтів, контролерів, «без зайвої затримки» після першого ознайомлення з порушенням даних.
Право на доступ: Частиною розширених прав суб'єктів даних, окреслених ВВП, є право суб'єктів даних отримувати підтвердження від контролера даних про те, чи обробляються персональні дані, що стосуються їх, де і з якою метою. Крім того, контролер надає безкоштовну копію персональних даних в електронному форматі. Ця зміна є різким переходом до прозорості даних та розширення можливостей суб'єктів даних.
Право на забуття: також відоме як стирання даних, право бути забутим дає право суб'єкту даних на те, щоб контролер даних видалив свої персональні дані, припинив подальше поширення даних, і потенційно треті сторони зупинили обробку даних. Умови для видалення, як зазначено у статті 17, включають дані, які більше не стосуються початкових цілей для обробки, або суб'єкта даних, який знімає згоду. Слід також зазначити , що це право вимагає контролерів для порівняння прав випробовуваних на "суспільний інтерес в доступності даних" при розгляді таких запитів.
Переносимість даних: GDPR вводить портативність даних - право суб'єкта даних на отримання персональних даних, що стосуються їх - які вони раніше надавали у форматі «звичайного використання та машинозчитуваному» і мають право передавати ці дані іншому контролеру.
Конфіденційність за проектом: Конфіденційність в дизайні як концепція існувала протягом багатьох років, але вона лише стає частиною юридичної вимоги з GDPR. За своєю суттю, конфіденційність при розробці вимагає включення захисту даних від початку проектування систем, а не доповнення. Більш конкретно, «Контролер… ефективно реалізує відповідні технічні та організаційні заходи… для того, щоб відповідати вимогам цього Регламенту та захищати права суб'єктів даних». Стаття 23 вимагає від контролерів проводити та обробляти тільки ті дані, які абсолютно необхідні для виконання своїх обов'язків (мінімізація даних), а також обмежувати доступ до персональних даних тим, хто повинен діяти з обробки.
Співробітники з захисту даних: Під ВБП не обов'язково подавати повідомлення / реєстрації кожному місцевому ДПА про обробку даних, а також не є обов'язковим сповіщати / отримувати схвалення для переказів на основі Типових положень контракту (МСС). Натомість існують вимоги щодо внутрішнього обліку, як зазначено нижче, а призначення DPO є обов'язковим тільки для тих контролерів і процесорів, основна діяльність яких полягає в операціях обробки, які вимагають регулярного і систематичного моніторингу суб'єктів даних у великих масштабах або спеціальних категорій дані або дані, пов'язані з кримінальними обвинуваченнями та правопорушеннями.
______________________________________________________________________
CHINESE | 中文
欧盟通用数据保护条例(GDPR)
这个过程
欧盟立法程序。 与隐私和数据保护立法相关的普通立法程序
“一般数据保护条例”目前正在相关联盟立法机构内进行普通立法程序。 顾名思义,这是最常见的立法形式,因为2009年至2014年期间89%的提案都经历了这一过程。 目前,在议会和理事会通过首次审议后,GDPR刚刚在非正式谈判阶段达成了一项被称为“三部曲”的协议。 以下文章将概述立法过程中涉及的各方,到目前为止,该法规到底是什么,以及未来的内容。
有三个欧洲当局正式负责立法程序,两个咨询机构值得注意其与数据隐私的具体关系:
权威机构
欧盟委员会:欧盟委员会是欧盟的执行机构。 它代表了整个欧盟的利益,共有28名委员,每个成员国一名,23,000名工作人员。 该机构在集体决策的基础上开展工作,以完成其提出立法,执行欧洲法律(在法院的帮助下),在国际上代表欧盟,设定目标以及管理欧盟政策和预算的作用。 。
欧洲议会:欧洲议会是唯一一个其成员由欧盟公民直接选举产生的机构。 它的目标是维护民主,代表人民的利益。 它拥有通过立法,欧盟预算以及委员会主席和任命的权力。 它由751名成员组成,当选为五年任期,根据每个成员国的人口代表。
欧洲联盟部长理事会:欧洲联盟部长理事会代表每个成员国的政府。 它与议会分享立法和预算的通过权,并协调各成员国的政策以及国际电联的外交和安全政策。 根据委员会的提议,理事会是缔结和签署国际协定的权威机构。 委员会会议由代表(部长或国务秘书)出席,他们有权投票并投票。
咨询机构
第29条数据保护工作组:第29条工作组是根据数据隐私指令95/46 / EC设立的咨询机构,由国家数据保护机构(DPA),EDPS和欧盟委员会的代表组成。 其作用是就 可能影响数据隐私的 一般数据保护 事项以及欧盟法律 向委员会提供建议 。 它还促进了整个欧盟统一应用数据保护指令。
欧洲数据保护主管:欧洲数据保护主管是2014年由议会和理事会成立的独立监督机构,负责就欧盟主管部门处理个人数据提供建议,并监督这些机构以确保遵守自己的法规。 EDPS还处理投诉并监控与个人数据处理相关的新技术。
普通立法程序涵盖了大多数所谓的二级法律,它源于欧盟条约中规定的原则和目标,包括法规,指令和决定。 值得注意的是,GDPR是一项立法,可立即适用于整个联盟,而不是指令,必须由每个成员国转换为国家法律。 该过程始于委员会的提案,该提案将通过议会与理事会之间的共同决策程序通过,拒绝或修改。 议会首先发送该提案,以便在将其提交给理事会进行自己的一读之前进行一读,接受或修改。 如果理事会通过议会的立场,立法就会通过,但如果理事会作出进一步的修改,所有三个机构都会参加Trilogue谈判。 一项立法有可能继续由议会和理事会进行二读,甚至还可以称为调解阶段的最后阶段。 如果立法未能在任何阶段通过,它只能作为委员会的新提案复活,再次重复整个过程。
GDPR最初是由委员会在2012年1月提出的,由议会在2014年3月的一读中进行了修订,最近由理事会在2015年6月的一读中进行了修订。第一次三部曲会议在6月24日,欧盟三个机构的既定目标是在2015年底之前达成协议。但是,这些谈判可以通过各方领导人根据“实际联合宣言”规定的协议予以延长。协调程序的安排,管理三部曲会议。 可以在此处找到更加强大的GDPR事件时间表,并且可以在此处找到可能最激烈争论的主题的讨论。
2015年12月15日签署了一项政治协议,规定将于2016年1月由议会和理事会主席和秘书长签署,届时该文本将在欧盟官方公报上公布。 在发布之日起的两年宽限期之后,该规定将在整个欧盟范围内具有直接约束力。
规定
GDPR密钥更改。 概述GDPR下的主要变化以及它们与先前指令的不同之处
GDPR的目标是在当今数据驱动的世界中保护所有欧盟公民免受隐私和数据泄露。 虽然数据隐私的关键原则仍然适用于以前的指令,但监管政策已经提出了许多变化; GDPR的关键点以及它对业务的影响信息可以在下面找到。
领土范围的扩大(域外适用性):数据隐私监管环境的最大变化可能来自GDPR的扩展管辖权,因为它适用于处理居住在联盟的数据主体的个人数据的所有公司,无论公司是什么地点。 以前,该指令的地域适用性含糊不清,并且在“企业背景下”指的是数据流程。 这一主题出现在一些备受瞩目的法庭案件中。 GDPR使其适用性非常明确 - 它适用于欧盟的控制器和处理器处理个人数据,无论处理是否在欧盟进行。 GDPR还适用于欧盟内未设立的控制器或处理器处理欧盟数据主体的个人数据,其活动涉及:向欧盟公民提供商品或服务(无论是否需要付款)和监测欧盟内部发生的行为。 处理欧盟公民数据的非欧盟企业也必须在欧盟任命一名代表。
处罚:违反GDPR的组织可被处以高达全球年营业额4%或2000万欧元(以较高者为准)的罚款。 这是对最严重侵权行为可以征收的最高罚款,例如,没有足够的客户同意来处理数据或违反隐私设计概念的核心。 有罚款的分层方法,例如,公司可能因未按顺序记录而被罚款2%(第28条),未通知监管机构和数据主体有关违规或未进行影响评估。 值得注意的是,这些规则适用于控制器和处理器 - 这意味着“云”不能免除GDPR强制执行。
同意:同意的条件已得到加强,公司不再能够使用充满法律术语的长期难以辨认的条款和条件。 同意请求必须以易于理解且易于访问的形式提供,并且数据处理的目的与该同意相关。 同意必须清晰明确,与其他事项不同,并以清晰易懂的语言以易于理解和易于理解的形式提供。 它必须像提供同意一样容易撤回同意。
数据主体权利
违规通知:根据GDPR,违规通知现在在所有成员国都是强制性的,因为数据泄露可能“导致个人权利和自由的风险”。 这必须在首次发现违规行为后的72小时内完成。 数据处理器还需要在首次发现数据泄露事件后“无不当延迟”通知其客户,控制器。
访问权:GDPR概述的数据主体扩展权利的一部分是数据主体获得数据控制者确认是否正在处理与其有关的个人数据,何处以及用于何种目的的权利。 此外,控制器应以电子格式免费提供个人数据的副本。 这种变化是数据透明度和数据主体赋权的重大转变。
被遗忘的权利:也被称为数据删除,被遗忘的权利使数据主体有权让数据控制者删除他/她的个人数据,停止进一步传播数据,并可能让第三方停止处理数据。 如第17条所述,删除的条件包括数据不再与原始处理目的相关,或数据主体撤回同意。 还应当指出的是,这一权利需要控制器考虑此类请求时,被试的权利,以比较‘中的数据的可用性公共利益’。
数据可移植性:GDPR引入了数据可移植性 - 数据主体接收有关它们的个人数据的权利 - 它们以前以“通用和机器可读格式”提供,并有权将该数据传输到另一个控制器。
设计隐私:设计隐私作为一个概念已存在多年,但它只是成为GDPR法律要求的一部分。 从本质上讲,隐私设计要求在系统设计开始时包含数据保护,而不是添加。 更具体地说,“控制人应......以有效的方式......实施适当的技术和组织措施......以满足本法规的要求并保护数据主体的权利”。 第23条要求管制员仅持有和处理完成其职责所必需的数据(数据最小化),并将个人数据的访问权限限制在需要执行处理的人员。
数据保护官员:根据GDPR,没有必要向每个本地DPA提交数据处理活动的通知/注册,也不需要根据示范合同条款(MCC)通知/获得转移批准。 相反,有内部记录保存要求,如下面进一步说明的那样,DPO的任命仅对那些核心活动包括处理操作的控制器和处理器是强制性的,这些处理操作需要定期和系统地监控大规模或特殊类别的数据主体。与刑事定罪和犯罪有关的数据或数据。
______________________________________________________________________
JAPANESE | 日本語
EU一般データ保護規則(GDPR)
プロセス
欧州連合の立法手続き プライバシーおよびデータ保護法に関連する通常の法的手続き
一般データ保護規則は現在、関連するEUの立法機関の中で通常の立法手続きを受けています。 名前が示すように、これは2009年から2014年の間のすべての提案の89%がこのプロセスを経ているため、法律作成の最も一般的な形式です。 現在、GDPRは議会と理事会の両方による最初の読みの採択に続き、「三部作」と呼ばれる非公式交渉段階で合意に達したところです。 次の記事では、立法プロセスに関与する当事者、これまでにこの規制がこれまでに通過してきた内容、および今後の予定について概説します。
立法手続を正式に担当する3つの欧州当局と、データのプライバシーとの特定の関係について注目に値する2つの諮問機関があります。
権威機関
欧州委員会:欧州委員会はEUの執行機関です。 これは、各加盟国から1人、合計23,000人の職員からなる合計28人の委員からなる欧州連合全体の利益を代表するものです。 組織は、立法案の提案、国際法によるEUの代表、目的の設定、およびEUの政策と予算の管理の立法の提案、欧州法の施行の役割を果たすために、集団的意思決定に基づいて活動しています。 。
欧州議会:欧州議会は、そのメンバーがEUの市民によって直接選出される唯一の機関です。 その目的は、民主主義を維持し、人々の利益を代表することです。 それは、立法、EU予算、大統領、そして委員会の任命を可決する権限を持っています。 5年間の任期で選出された751の加盟国で構成され、代表は各加盟国の人口に基づいています。
欧州連合閣僚評議会:欧州連合閣僚評議会は、各加盟国の政府を代表します。 その議会は議会と立法と予算の採択の力を共有し、そしてまた連合のための外交と安全保障政策と同様に個々の加盟国のための政策を調整する。 欧州委員会からの提案に基づき、理事会は国際協定を締結し承認するための権威ある機関です。 評議会の会合には、自国を批准し投票する権利を持つ代表者(大臣または州務長官)が出席します。
諮問機関
第29条データ保護ワーキングパーティー:第29条ワーキングパーティーは、データプライバシー指令95/46 / ECに基づいて設立された諮問機関であり、国内データ保護当局(DPA)、EDPSおよび欧州委員会の代表者で構成されています。 その役割は、 データのプライバシーに影響を与える可能性がある 一般的なデータ保護 問題およびEUの法律について 委員会に助言する ことです。 また、EU全体にデータ保護指令を統一的に適用することを推進しています。
ヨーロッパのデータ保護監督者:ヨーロッパのデータ保護監督者は、2014年に議会と理事会によって設立された独立した監督機関です。 EDPSはまた、苦情を処理し、個人データの処理に関連する新しいテクノロジを監視します。
通常の立法手続は、EU条約に定められた原則と目的に由来し、規制、指令、決定を含む、二次法として知られるものの大部分をカバーしています。 GDPRは、個々の加盟国ごとに国内法に置き換えられなければならない指令ではなく、EU全域で直ちに適用される規制であることに留意することは常に重要です。 プロセスは、議会と理事会の間の共同決定のプロセスを通して採択されるか、拒否されるか、または修正されることになっている委員会による提案から始まります。 議会は最初にその最初の読書をするために提案を送られます、それはそれがそれ自身の最初の読書のために評議会にそれを渡す前にそれに受け入れまたは修正をします。 評議会が議会の立場を採択した場合、法案は可決されますが、評議会による更なる修正があれば、3つの機関すべてがトリローグ交渉のために集まります。 議会と理事会の両方による立法の一部、さらには調停段階として知られている最終段階まで継続することが可能です。 立法がいずれの段階でも採択されなかった場合、それは委員会からの新しい提案としてのみ復活させることができ、再び全プロセスを繰り返すことができます。
GDPRは、2012年1月に欧州委員会によって最初に提案され、2014年3月の最初の読書で議会によって修正され、そしてごく最近では2015年6月の最初の読書で評議会によって修正されました。 2015年末までに合意に達するという3つのEU機関からの目標を掲げて、6月24日。しかし、これらの交渉は、実務に関する共同宣言で定められた規則に従って、各当事者の首脳間の合意によって延長することができる。三部会議を統括する共決定手続きの手配。 GDPRのイベントのより堅牢なタイムラインはここで見つけることができます、そして最も激しく議論されていると思われるトピックに関する議論はここで見つけることができます。
2015年12月15日に政治協定が結ばれ、2016年1月に議会と評議会の両方の議長と事務総長によって規則が調印され、その時点で本文は欧州連合の官報に掲載される予定です。 この規則は、出版日から2年間の猶予期間の後、EU全体で直接拘束力を持ちます。
規制
GDPRキーの変更 GDPRの下での主な変更点の概要とそれらが前の指令とどう違うか
GDPRの目的は、今日のデータ駆動型の世界で、すべてのEU市民をプライバシーとデータの侵害から保護することです。 データプライバシーの重要な原則は以前の指令にも当てはまりますが、規制方針には多くの変更が提案されています。 GDPRの要点とそれが事業に与える影響に関する情報は以下にあります。
管轄範囲の拡大(域外適用性):データプライバシーの規制環境の最大の変更点は、GDPRの管轄範囲が広がることにあります。これは、会社に関係なく、EUに存在するデータ主体の個人データを処理するすべての企業に適用されます。ロケーション。 以前は、この指令の領域への適用可能性はあいまいであり、「事業所との関連で」データ処理と呼ばれていました。 このトピックは、多くの注目を集める訴訟で発生しています。 GDPRはその適用性を非常に明確にします - それは、処理がEU内で行われるかどうかにかかわらず、EU内のコントローラとプロセッサによる個人データの処理に適用されます。 GDPRはまた、EU内に設置されていないコントローラまたはプロセッサによるEU内のデータ主体の個人データの処理にも適用されます。ここでの活動は、(支払いが必要かどうかにかかわらず)EU市民への商品またはサービスの提供とEU内で行われる行動の監視 EU市民のデータを処理するEU以外の企業も、EUの代表者を任命する必要があります。
罰則:GDPRに違反した組織は、年間総売上高の4%、または2,000万ユーロ(どちらか大きい方)の罰金を科せられる可能性があります。 これは、データを処理するための十分な顧客の同意を得ないことや、Privacy by Designの概念の中核を侵害することなど、最も深刻な侵害に対して課すことができる最大の罰金です。 罰金への段階的なアプローチがあります。例えば、会社は、記録を整理していないために2%罰金を科せられ(第28条)、違反について監督当局およびデータ主体に通知しない、または影響評価を実施しない。 これらのルールはコントローラとプロセッサの両方に適用されることに注意することが重要です。つまり、「クラウド」はGDPRの適用から免除されません。
同意:同意のための条件は強化されており、企業はもはや法的に満ちた長い判読不可能な条件を使用することはできません。 同意の要求は、その同意に添付されたデータ処理の目的で、わかりやすく簡単にアクセスできる形式で与えられなければなりません。 同意は、他の事項と明確かつ区別可能でなければならず、明確でわかりやすい言葉を使用して、わかりやすく簡単にアクセスできる形式で提供されなければなりません。 それはそれを与えることであるのと同じくらい簡単に同意を撤回することでなければなりません。
データ主体の権利
違反通知:GDPRの下では、データ侵害が「個人の権利と自由に対するリスクをもたらす」可能性が高いすべての加盟国で、違反通知が必須になりました。 これは侵害を最初に認識してから72時間以内に行わなければなりません。 データプロセッサはまた、最初にデータ侵害に気付いた後、「過度に遅れることなく」顧客、つまりコントローラに通知する必要があります。
アクセス権:GDPRによって概説されているデータ主体の拡大された権利の一部は、データ主体がそれらに関する個人データがどこで、どのような目的で処理されているかについて確認をデータ管理者から得る権利です。 さらに、管理者は、個人データのコピーを無料で電子フォーマットで提供するものとします。 この変化は、データの透明性とデータ主体のエンパワーメントへの劇的な変化です。
忘れられる権利:データ消去とも呼ばれ、データ管理者が個人データを消去し、それ以上データを広めることをやめ、第三者にデータの処理を中止させることがあります。 第17条に概説されているように、消去のための条件は、もはや処理の本来の目的に関連しないデータ、または同意を撤回するデータ主体を含みます。 また 、 この権利は、そのような要求を考慮すると、 『データの可用性における公共の利益』に被験者の権利を比較するために、コントローラを必要とすることに注意すべきです。
データの携帯性:GDPRは、データの携帯性、つまり「一般的に使用され機械読み取り可能なフォーマット」で以前に提供されたデータに関する個人データを受信する権利を導入し、そのデータを別のコントローラに送信する権利を持ちます。
設計によるプライバシー:概念としての設計によるプライバシーは何年も前から存在していましたが、それはGDPRの法的要件の一部になっただけです。 基本的に、設計によるプライバシーは、追加ではなくシステムの設計の開始からデータ保護を含めることを要求します。 より具体的には、「管理者は…この規則の要件を満たし、データ主体の権利を保護するために……効果的な方法で…適切な技術的および組織的措置を実施しなければならない」。 第23条は、個人データへのアクセスを処理を実行する必要がある人に限定するとともに、その義務の完了に絶対に必要なデータ(データの最小化)のみを保持し処理することを管理者に要求している。
データ保護責任者:GDPRの下では、データ処理活動について通知/登録を各地方DPAに提出する必要はなく、またモデル契約条項(MCC)に基づく移転の承認/通知を取得する必要もありません。 その代わりに、以下でさらに説明されるように、内部記録保持要件があり、DPOの任命は、大規模なデータ主体の定期的かつ体系的な監視を必要とする処理操作から刑事有罪判決および犯罪に関するデータまたはデータ。
________________________________________________________________
ARABIC | عربى
اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR)
هذه العملية
العملية التشريعية للاتحاد الأوروبي. العملية التشريعية العادية من حيث صلتها بتشريعات حماية الخصوصية والبيانات
تخضع اللائحة العامة لحماية البيانات حاليًا للإجراء التشريعي العادي داخل الهيئات التشريعية للاتحاد ذات الصلة. كما يوحي الاسم ، هذا هو الشكل الأكثر شيوعًا لإنشاء التشريعات حيث خضع 89٪ من جميع المقترحات بين عامي 2009 و 2014 لهذه العملية. في الوقت الحالي ، توصل الناتج المحلي الإجمالي للتو إلى اتفاق في مرحلة المفاوضات غير الرسمية المشار إليها باسم "ثلاثية" عقب اعتماد القراءات الأولى من قبل كل من البرلمان والمجلس. سوف توضح المادة التالية الأطراف المشاركة في العملية التشريعية ، وماهية هذه اللائحة بالضبط حتى الآن ، وما الذي لم يأت بعد.
هناك ثلاث سلطات أوروبية مسؤولة رسمياً عن العملية التشريعية ، وهيئتان استشاريتان تجدر الإشارة إلى علاقتهما الخاصة بخصوصية البيانات:
الهيئات الرسمية
المفوضية الأوروبية: المفوضية الأوروبية هي الهيئة التنفيذية للاتحاد الأوروبي. ويمثل مصالح الاتحاد الأوروبي ككل من خلال ما مجموعه 28 مفوضًا ، واحد من كل دولة عضو ، و 23000 موظف. تعمل الهيئة على أساس اتخاذ القرارات الجماعية من أجل استكمال أدوارها في اقتراح التشريعات ، وإنفاذ القانون الأوروبي (بمساعدة محكمة العدل) ، وتمثيل الاتحاد الأوروبي دوليًا ، وتحديد الأهداف ، وإدارة سياسات الاتحاد الأوروبي والميزانية .
البرلمان الأوروبي: البرلمان الأوروبي هو الهيئة الوحيدة التي ينتخب أعضاؤها مباشرة من قبل مواطني الاتحاد الأوروبي. الهدف هو الحفاظ على الديمقراطية وتمثيل مصالح الشعب. لديها صلاحيات على تمرير التشريعات ، وميزانية الاتحاد الأوروبي ، ورئيس وتعيينات المفوضية. وتتكون من 751 عضوًا ، يتم انتخابهم لمدة خمس سنوات ، مع تمثيل على أساس عدد سكان كل دولة عضو.
مجلس وزراء الاتحاد الأوروبي: يمثل مجلس وزراء الاتحاد الأوروبي حكومات كل دولة عضو. تشترك في سلطة تبني التشريعات والميزانية مع البرلمان ، كما تنسق السياسة الخاصة بالدول الأعضاء الفردية وكذلك السياسة الخارجية والأمنية للاتحاد. بناءً على المقترحات المقدمة من اللجنة ، يعد المجلس الهيئة الرسمية لإبرام الاتفاقات الدولية وتوقيعها. يحضر اجتماعات المجلس ممثلون (إما وزراء أو وزراء دولة) لهم الحق في الالتزام ببلدانهم والإدلاء بأصواتهم.
الهيئات الاستشارية
المادة 29 - فرقة العمل المعنية بحماية البيانات: إن فرقة العمل العاملة بموجب المادة 29 هي هيئة استشارية تم إنشاؤها بموجب توجيه خصوصية البيانات 95/46 / EC وتتكون من ممثلين عن السلطات الوطنية لحماية البيانات (DPA) و EDPS والمفوضية الأوروبية. دورها هو تقديم المشورة للمفوضية بشأن مسائل حماية البيانات العامة وكذلك القوانين من الاتحاد الأوروبي التي قد تؤثر على خصوصية البيانات. كما يشجع التطبيق الموحد لتوجيه حماية البيانات عبر الاتحاد الأوروبي بأكمله.
المشرف الأوروبي لحماية البيانات: المشرف الأوروبي لحماية البيانات هو السلطة الإشرافية المستقلة التي أنشأها البرلمان والمجلس في عام 2014 لتقديم المشورة لإدارات الاتحاد الأوروبي بشأن معالجة البيانات الشخصية بالإضافة إلى الإشراف على هذه الهيئات لضمان الامتثال للوائحها. يتعامل EDPS أيضًا مع الشكاوى ويرصد التقنيات الجديدة المتعلقة بمعالجة البيانات الشخصية.
يغطي الإجراء التشريعي العادي غالبية ما يعرف بالقانون الثانوي ، والذي يستمد من المبادئ والأهداف المنصوص عليها في معاهدات الاتحاد الأوروبي ويتضمن اللوائح والتوجيهات والقرارات. من المهم دائمًا أن نلاحظ أن إجمالي الناتج المحلي هو لائحة تسري فورًا عبر الاتحاد ، وليست توجيهًا ، يجب تحويلها إلى قانون وطني من قبل كل دولة عضو على حدة. تبدأ العملية باقتراح من اللجنة ، إما أن يتم اعتماده أو رفضه أو تعديله من خلال عملية قرار مشترك بين البرلمان والمجلس. يُرسل البرلمان أولاً الاقتراح من أجل إجراء قراءته الأولى ، والتي يتم قبولها أو إجراء تعديلات عليها ، قبل إرسالها إلى المجلس لقراءتها الأولى. إذا تبنى المجلس موقف البرلمان ، يتم إقرار التشريع ، ولكن إذا كان هناك أي تعديلات أخرى قام بها المجلس ، تجتمع جميع الهيئات الثلاث لمفاوضات ثلاثية. من الممكن أن يستمر التشريع في القراءة الثانية من قبل كل من البرلمان والمجلس ، وحتى مرحلة أخيرة تعرف باسم مرحلة التوفيق. إذا فشل التشريع في اعتماده في أي مرحلة ، فلا يمكن إعادة إحياءه كاقتراح جديد من المفوضية لتكرار العملية بأكملها مرة أخرى.
تم اقتراح الناتج المحلي الإجمالي في البداية من قبل اللجنة في يناير من عام 2012 ، وقام البرلمان بتعديله في قراءته الأولى في مارس 2014 ، وقام المجلس مؤخراً بتعديله في قراءته الأولى في يونيو 2015. وعقد الاجتماع الثلاثي الأول في 24 يونيو ، مع هدف معلن من هيئات الاتحاد الأوروبي الثلاث للتوصل إلى اتفاق بحلول نهاية عام 2015. ومع ذلك ، يمكن تمديد هذه المفاوضات بالاتفاق بين قادة كل طرف وفقًا للقواعد المنصوص عليها في الإعلان المشترك حول العملية الترتيبات الخاصة بإجراءات الترميز ، والتي تحكم الاجتماعات الثلاثية. يمكن الاطلاع هنا على جدول زمني أكثر قوة للأحداث الخاصة بالناتج المحلي الإجمالي (GDPR) ، ويمكن العثور هنا على مناقشة للموضوعات التي من المحتمل أن تكون أكثر نقاشًا مكثفًا.
تم التوصل إلى اتفاق سياسي في 15 ديسمبر 2015 ، مما يترك اللائحة الموقعة في يناير 2016 من قبل الرؤساء والأمناء العامين لكل من البرلمان والمجلس ، وفي ذلك الوقت سيتم نشر النص في الجريدة الرسمية للاتحاد الأوروبي. ستكون اللائحة ملزمة بشكل مباشر في جميع أنحاء الاتحاد الأوروبي بعد فترة سماح مدتها عامان تبدأ من تاريخ النشر.
القوانين
التغييرات الرئيسية في الناتج المحلي الإجمالي. نظرة عامة على التغييرات الرئيسية في إطار الناتج القومي الإجمالي وكيف تختلف عن التوجيه السابق
الهدف من إجمالي الناتج المحلي هو حماية جميع مواطني الاتحاد الأوروبي من انتهاكات الخصوصية والبيانات في عالم اليوم القائم على البيانات. على الرغم من أن المبادئ الرئيسية لخصوصية البيانات لا تزال سارية مع التوجيه السابق ، فقد تم اقتراح العديد من التغييرات على السياسات التنظيمية ؛ يمكن العثور أدناه على النقاط الرئيسية في إجمالي الناتج المحلي بالإضافة إلى معلومات حول التأثيرات التي ستتركها على الأعمال.
النطاق الإقليمي المتزايد (قابلية التطبيق خارج الحدود الإقليمية): يمكن القول إن أكبر تغيير في المشهد التنظيمي لخصوصية البيانات يأتي مع الولاية القضائية الموسعة للناتج المحلي الإجمالي ، حيث ينطبق على جميع الشركات التي تعالج البيانات الشخصية لموضوعات البيانات الموجودة في الاتحاد ، بغض النظر عن الشركة موقعك. في السابق ، كان التطبيق الإقليمي للتوجيه غامضًا وأشار إلى عملية البيانات "في سياق المنشأة". لقد نشأ هذا الموضوع في عدد من قضايا المحكمة البارزة. يجعل إجمالي الناتج المحلي من قابليته للتطبيق غاية الوضوح - إنه ينطبق على معالجة البيانات الشخصية من قبل وحدات التحكم والمعالجات في الاتحاد الأوروبي ، بغض النظر عما إذا كانت المعالجة تتم في الاتحاد الأوروبي أم لا. ينطبق الناتج المحلي الإجمالي أيضًا على معالجة البيانات الشخصية لموضوعات البيانات في الاتحاد الأوروبي من خلال وحدة تحكم أو معالج غير مقيم في الاتحاد الأوروبي ، حيث تتعلق الأنشطة بما يلي: تقديم سلع أو خدمات لمواطني الاتحاد الأوروبي (بغض النظر عما إذا كان الدفع مطلوبًا) و مراقبة السلوك الذي يحدث داخل الاتحاد الأوروبي. يتعين على الشركات غير التابعة للاتحاد الأوروبي التي تقوم بمعالجة بيانات مواطني الاتحاد الأوروبي تعيين ممثل لها في الاتحاد الأوروبي.
العقوبات: يمكن تغريم المنظمات التي تنتهك إجمالي الناتج المحلي بنسبة تصل إلى 4٪ من إجمالي مبيعاتها السنوية أو 20 مليون يورو (أيهما أكبر). هذه هي الغرامة القصوى التي يمكن فرضها على أخطر الانتهاكات ، على سبيل المثال عدم وجود موافقة كافية من العملاء على معالجة البيانات أو انتهاك جوهر مفاهيم الخصوصية حسب التصميم. هناك نهج متدرج للغرامات ، على سبيل المثال ، يمكن تغريم شركة بنسبة 2٪ لعدم وجود سجلاتها بالترتيب (المادة 28) ، أو عدم إخطار الجهة المشرفة والبيانات موضوع الإخلال أو عدم إجراء تقييم الأثر. من المهم ملاحظة أن هذه القواعد تنطبق على كل من وحدات التحكم والمعالجات - بمعنى أن "السحب" ليست معفية من تطبيق إجمالي الناتج المحلي.
الموافقة: تم تعزيز شروط الموافقة ، ولم تعد الشركات قادرة على استخدام الشروط والأحكام غير المقروءة الطويلة المليئة بالقانونيين. يجب تقديم طلب الموافقة في نموذج واضح ويمكن الوصول إليه بسهولة ، مع إرفاق الغرض من معالجة البيانات بهذه الموافقة. يجب أن تكون الموافقة واضحة ويمكن تمييزها عن الأمور الأخرى وأن يتم تقديمها بشكل واضح ويمكن الوصول إليه بسهولة ، باستخدام لغة واضحة وصريحة. يجب أن يكون سحب الموافقة سهلاً كما هي.
حقوق موضوع البيانات
الإخطار بالخرق: بموجب إقتراح الناتج المحلي الإجمالي ، أصبحت إخطارات الانتهاك إلزامية في جميع الدول الأعضاء حيث من المحتمل أن يؤدي خرق البيانات إلى "خطر على حقوق وحريات الأفراد". يجب أن يتم ذلك في غضون 72 ساعة من أول علمك بالانتهاك. يُطلب من معالجات البيانات أيضًا إخطار عملائها ، وحدات التحكم ، "دون تأخير لا مبرر له" بعد أن يصبحوا على علم أولاً بانتهاك البيانات.
الحق في الوصول: جزء من الحقوق الموسعة لموضوعات البيانات التي يحددها إجمالي الناتج المحلي هو الحق لموضوعات البيانات في الحصول على تأكيد من وحدة تحكم البيانات بشأن ما إذا كانت البيانات الشخصية المتعلقة بهم تتم معالجتها ، وأين ولأي غرض. علاوة على ذلك ، يجب أن توفر وحدة التحكم نسخة من البيانات الشخصية ، مجانًا ، بتنسيق إلكتروني. هذا التغيير هو تحول كبير في شفافية البيانات وتمكين موضوعات البيانات.
الحق في النسيان: يُعرف أيضًا باسم "محو البيانات" ، الحق في النسيان يخول للبيانات موضوع أن يكون جهاز التحكم في البيانات يمحو بياناته الشخصية ، ويوقف نشر البيانات بشكل أكبر ، ويحتمل أن يقوم الأطراف الثالثة بوقف معالجة البيانات. تتضمن شروط المحو ، كما هو موضح في المادة 17 ، البيانات التي لم تعد ذات صلة بالأغراض الأصلية للمعالجة ، أو موافقة على سحب البيانات. وتجدر الإشارة أيضًا إلى أن هذا الحق يتطلب من المراقبين مقارنة حقوق الأشخاص بـ "المصلحة العامة في توفر البيانات" عند النظر في مثل هذه الطلبات.
قابلية نقل البيانات: يقدم GDPR قابلية نقل البيانات - وهو الحق في أن يخضع موضوع البيانات لتلقي البيانات الشخصية المتعلقة بها - والتي سبق أن قدمتها في "تنسيق شائع الاستخدام وقابل للجهاز" وله الحق في نقل تلك البيانات إلى وحدة تحكم أخرى.
الخصوصية حسب التصميم: كانت الخصوصية حسب التصميم كمفهوم قائمة منذ سنوات ، ولكنها أصبحت مجرد جزء من المتطلبات القانونية في إجمالي الناتج المحلي. في جوهرها ، تدعو الخصوصية حسب التصميم إلى إدراج حماية البيانات من بداية تصميم النظم ، بدلاً من الإضافة. وبشكل أكثر تحديدًا ، "يجب على المراقب المالي ... تنفيذ التدابير الفنية والتنظيمية المناسبة ... بطريقة فعالة ... من أجل تلبية متطلبات هذه اللائحة وحماية حقوق موضوعات البيانات". تدعو المادة 23 وحدات التحكم إلى الاحتفاظ ومعالجة فقط البيانات الضرورية للغاية لإنجاز واجباتها (تقليل البيانات) ، وكذلك تقييد الوصول إلى البيانات الشخصية لمن يحتاجون إلى معالجة المعالجة.
موظفو حماية البيانات: بموجب الناتج المحلي الإجمالي ، ليس من الضروري تقديم إخطارات / تسجيلات لكل DPA محلي لأنشطة معالجة البيانات ، كما أنه ليس من الضروري إخطار / الحصول على الموافقة على عمليات النقل بناءً على بنود العقد النموذجي (MCC). بدلاً من ذلك ، هناك متطلبات داخلية لحفظ السجلات ، كما هو موضح أدناه ، وتعيين DPO إلزامي فقط لهؤلاء المراقبين والمعالجات التي تتألف أنشطتها الأساسية من عمليات معالجة تتطلب مراقبة منتظمة ومنتظمة لمواضيع البيانات على نطاق واسع أو لفئات خاصة من البيانات أو البيانات المتعلقة بالإدانات والجرائم الجنائية.
______________________________________________________________________
KOREAN | 한국
EU의 일반 데이터 보호 규정 (GDPR)
과정
유럽 연합 입법 절차. 개인 정보 보호 및 데이터 보호 법안과 관련된 일반 입법 절차
일반 정보 보호 규정은 현재 관련 입법 기관에서 통상 입법 절차를 밟고 있습니다. 이름에서 알 수 있듯이 2009 년과 2014 년 사이에 모든 제안서의 89 %가이 과정을 밟았으므로 가장 일반적인 입법안 작성 방식입니다. 현재 GDPR은 의회와 협의회의 첫 번째 발표가 채택 된 후 "Trilogues"라고 불리는 비공식 협상 단계에서 합의에 이르렀다. 다음의 기사는 입법 과정에 참여한 당사자들에 대한 개요, 지금까지 정확히 무엇이이 규정이 있었는지, 그리고 앞으로 올 것이 무엇인지를 설명합니다.
입법 절차에 공식적으로 책임이있는 유럽 당국 3 곳과 데이터 개인 정보 보호와 관련하여 주목할만한 가치가있는 자문 기관 2 곳이 있습니다.
권위있는 단체
유럽 집행위원회 : 유럽 집행위원회 (European Commission)는 EU의 집행 기관입니다. 총 28 명의 위원 (각 회원국의 위원과 23,000 명의 직원)을 통해 유럽 연합 (EU) 전체의 이익을 대표합니다. 단체는 법안 제안, 유럽 법 집행 (법원의 도움을받는), 국제적으로 EU를 대표하고, 목표를 설정하고, EU 정책과 예산을 관리하는 역할을 완수하기 위해 집단적 의사 결정의 기초 위에서 활동합니다 .
유럽 의회 (European Parliament) : 유럽 의회는 유럽 연합 시민들이 직접 선출 한 유일한기구입니다. 목표는 민주주의를 보존하고 국민의 이익을 대변하는 것입니다. 입법, EU 예산, 그리고 대통령과위원회의 임명에 대한 권한을 보유하고있다. 5 개년으로 선출 된 751 명의 회원으로 구성되며, 각 회원국의 인구에 근거하여 대표됩니다.
유럽 연합 (EU) 장관 회의 : 유럽 연합 장관 회의는 각 회원국 정부를 대표한다. 법안과 예산을 의회와의 입양 권력으로 공유하며, 개별 회원국의 정책과 외교 안보 정책을 조정합니다. 위원회의 제안에 따라 이사회는 국제 협약을 체결하고 서명 할 수있는 권한있는 기관입니다. 협의회 회의에는 자국의 국가에 투표권을 행사하고 투표권을 행사할 대표자 (장관 또는 비서관)가 참석합니다.
자문기구
제 29 조 데이터 보호 작업반 : 제 29 조 작업반은 데이터 프라이버시 지시문 95 / 46 / EC에 의거 한 자문기구이며 국가 정보 보호 당국 (DPA), EDPS 및 유럽 집행위원회의 대표로 구성된다. 이위원회의 역할은 데이터 프라이버시에 영향을 미칠 수있는 EU의 법률뿐만 아니라 일반적인 데이터 보호 문제 에 대해위원회에 조언하는 것입니다. 또한 EU 전체에 데이터 보호 지침을 일관되게 적용하는 것을 촉진합니다.
유럽 데이터 보호 관리자 (European Data Protection Supervisor) : 유럽 데이터 보호 관리자 (European Data Protection Supervisor)는 2014 년에 의회와 이사회가 개인 데이터 처리에 대해 EU 행정부에 조언하고이 규정을 준수하도록 감독하는 독립 감독 기관입니다. 또한 EDPS는 불만 사항을 처리하고 개인 데이터 처리와 관련된 새로운 기술을 모니터링합니다.
통상적 인 입법 절차는 EU 조약에 규정 된 원칙과 목표에서 비롯되고 규정, 지시 및 결정을 포함하는 2 차 법으로 알려져있는 대부분을 다루고 있습니다. GDPR은 개별 회원국별로 국내법으로 전환해야하는 지침이 아니라 연합 전체에 즉시 적용되는 규정입니다. 절차는 의회와 이사회 간의 공동 결정 프로세스를 통해 채택, 거절 또는 개정되어야하는위원회의 제안으로 시작됩니다. 의회는 제안서를 처음으로 읽음으로써 이사회에 전달하기 전에 첫 번째 읽음을 받아들이거나 개정하기 위해 제안서를 먼저 보냅니다. 협의회가 의회의 입장을 채택하면 입법안이 통과되지만, 이사회가 개정안을 제출하면 세 단체 모두가 협의회의를 진행하게됩니다. 한 법안이 의회와 협의회의 두 번째 독서로 계속 이어질 수 있으며 심지어 조정 단계로 알려진 마지막 단계까지 이어질 수 있습니다. 법안이 어느 단계에서 채택되지 않으면위원회 전체의 절차를 다시 반복하도록하는 새로운 제안으로 부활 될 수 있습니다.
GDPR은 처음에 2012 년 1 월에 집행위원회에 의해 제안되었으며, 2014 년 3 월에 처음으로 의회에서 개정되었으며, 최근에는 2015 년 6 월 첫 회의에서위원회가 개정했습니다. 첫 번째 삼부 회의는 6 월 24 일 EU 집행위원회는 3 개의 EU기구가 2015 년 말까지 협약을 맺을 것이라는 목표를 발표했다. 그러나 이러한 협상은 공동 선언문에 명시된 규칙에 따라 각 당사자 지도자 들간의 합의에 의해 연장 될 수있다 Trilogue Meeting을 관리하는 Codecision 절차 준비. GDPR에 대한보다 확고한 일정은 여기에서 찾을 수 있으며 가장 집중적으로 토론 된 주제에 대한 토론을 여기서 찾을 수 있습니다.
2015 년 12 월 15 일에 정치적 합의가 이루어져 2016 년 1 월에 의회와 이사회 의장 및 사무 총장이 서명 한 규정을 준수해야하며, 그 때 텍스트는 유럽 연합 공식 저널에 게시됩니다. 이 규정은 출판 일로부터 2 년간의 유예 기간이 끝난 후 EU 전역에서 직접적으로 구속력을가집니다.
규정
GDPR 주요 변경 사항. GDPR의 주요 변경 사항에 대한 개요 및 이전 지침과 다른 점
GDPR의 목표는 오늘날의 데이터 중심 세계에서 모든 EU 시민을 개인 정보 및 데이터 유출로부터 보호하는 것입니다. 데이터 프라이버시의 핵심 원칙은 여전히 이전 지침에 충실하지만 규제 정책에 많은 변화가 제기되었습니다. GDPR의 주요 요점과 사업에 미치는 영향에 대한 정보는 아래에서 확인할 수 있습니다.
영역 범위 확대 (비공개 영역 적용 가능성) : 데이터 프라이버시의 규제 환경에 대한 가장 큰 변화는 회사에 관계없이 연방에 거주하는 데이터 주체의 개인 데이터를 처리하는 모든 회사에 적용되므로 GDPR의 관할 구역이 확대되는 것입니다. 위치. 이전에는 지침의 영역 적 적용 가능성이 모호했으며 '설립의 맥락에서'데이터 프로세스를 참조했습니다. 이 주제는 많은 유명 법원에서 제기되었습니다. GDPR의 적용 가능성은 매우 명확합니다. 처리가 EU에서 이루어지는 지 여부에 관계없이 EU의 컨트롤러 및 프로세서에 의한 개인 데이터 처리에 적용됩니다. GDPR은 다음과 관련이있는 EU에서 설립되지 않은 컨트롤러 또는 프로세서에 의한 EU 내 데이터 주체의 개인 데이터 처리에도 적용됩니다. • EU 시민 (지불이 필요한지 여부와 상관없이)에게 상품 또는 서비스 제공 EU 내에서 발생하는 행동의 모니터링 유럽 연합 (EU) 시민들의 데이터를 처리하는 비 EU 기업들 또한 EU 내 대리인을 임명해야합니다.
처벌 : GDPR을 위반 한 조직은 연간 글로벌 매출액의 4 % 또는 2 천만 유로 중 큰 금액까지 벌금을 부과 할 수 있습니다. 이는 데이터를 처리하거나 디자인 개념에 따른 개인 정보 보호의 핵심을 침해하는 데 충분한 고객의 동의를 얻지 못하여 가장 심각한 위반에 대해 부과 될 수있는 최대 벌금입니다. 벌금에 대한 계층화 된 접근 방식이 있습니다. 예를 들어, 회사는 기록을 보유하지 않았기 때문에 2 %의 벌금을 물릴 수 있습니다 (28 조). 감독 당국과 데이터 대상에게 위반에 대해 알리지 않거나 영향 평가를 실시하지 않습니다. 이 규칙은 컨트롤러와 프로세서 모두에 적용된다는 점에 유의해야합니다. 이는 '구름'이 GDPR 시행에서 면제되지 않는다는 것을 의미합니다.
동의 : 동의 조건이 강화되었으며, 회사는 더 이상 합법적 인 용어로 가득 찬 오래 가지 않은 조건을 사용할 수 없습니다. 동의 요청은 해당 동의서에 첨부 된 데이터 처리 목적을 가진 이해하기 쉽고 쉽게 액세스 할 수있는 형식으로 제공되어야합니다. 동의는 분명하고 다른 문제와 구별 될 수 있어야하며 명백하고 평이한 언어를 사용하여 이해하기 쉽고 쉽게 접근 할 수있는 형태로 제공되어야합니다. 동의를 철회하는 것은 쉽습니다.
데이터 주체 권한
위반 통지 : GDPR 하에서 데이터 유출이 "개인의 권리와 자유에 대한 위험을 초래할"가능성이있는 모든 회원국에서 위반 통지가 의무적으로 적용됩니다. 이는 위반 사항을 처음 알게 된 후 72 시간 이내에 완료되어야합니다. 또한 데이터 프로세서는 데이터 유출을 처음 알게 된 후 고객, 즉 컨트롤러에 "과도한 지연없이"알릴 필요가 있습니다.
접근권 : GDPR에 명시된 데이터 주체의 확대 된 권리의 일부는 데이터 주체가 데이터 통제자로부터 개인 데이터가 처리되고 있는지, 어디서 그리고 어떤 목적으로 처리되었는지 여부를 확인하는 권리입니다. 또한 컨트롤러는 개인 정보의 사본을 전자 형식으로 무료로 제공해야합니다. 이러한 변화는 데이터 투명성과 데이터 주체의 권한 부여로의 극적인 변화입니다.
잊어 버릴 권리 : 데이터 삭제라고도 알려진 잊혀 질 권리는 데이터 주체가 데이터 관리자에게 개인 데이터를 지우고 데이터의 추가 보급을 중단하며 제 3자가 데이터 처리를 중단하게 할 수있는 권한을 부여합니다. 제 17 조에 명시된 바와 같이 삭제의 조건에는 더 이상 원래의 처리 목적과 관련이없는 데이터 또는 데이터 주체의 동의 철회가 포함됩니다. 또한 이러한 권리는 관제사가 그러한 요청을 고려할 때 주체의 권리를 "데이터 가용성에 대한 대중의 이익"과 비교할 것을 요구한다는 점에 유의해야한다.
데이터 이식성 : GDPR은 이전에 '일반적으로 사용하고 기계가 읽을 수있는 형식'으로 제공 한 데이터 주체 - 데이터 주체가 개인 데이터를 수신 할 권리 - 데이터를 다른 컨트롤러로 전송할 수있는 권한을가집니다.
디자인에 의한 프라이버시 : 개념으로서의 프라이버시는 수년간 존재 해 왔지만, 단지 GDPR의 법적 요건의 일부가되고 있습니다. 핵심적인면에서 설계상의 프라이버시는 추가가 아닌 시스템 설계의 개시로부터 데이터 보호를 포함해야합니다. 보다 구체적으로, '통제자는이 법규의 요구 사항을 충족시키고 데이터 주체의 권리를 보호하기 위해 적절한 방법으로 적절한 기술적 및 조직적 조치를 취해야한다.' 제 23 조는 관제사가 업무 수행을 위해 필요한 개인 데이터에 대한 접근을 제한 할뿐만 아니라 직무 수행을 위해 절대적으로 필요한 데이터 (데이터 최소화)를 보유하고 처리하도록 요구한다.
데이터 보호 담당관 : GDPR 하에서 각 지역 DPA에 데이터 처리 활동에 대한 알림 / 등록을 제출할 필요가 없으며 MCC (Model Contract Clauses)를 기반으로 전송에 대한 승인 또는 통보를 요구할 필요가 없습니다. 대신에 아래에 설명 된대로 내부 기록 유지 요구 사항이 있으며 DPO 약속은 핵심 작업이 대규모 또는 특수 범주의 데이터 주체를 정기적으로 체계적으로 모니터링해야하는 처리 작업으로 구성되는 컨트롤러 및 프로세서에 대해서만 필수입니다. 범죄 유죄 판결 및 범죄와 관련된 데이터 또는 데이터.
______________________________________________________________________
GREEK | Ελληνικά
Ο γενικός κανονισμός προστασίας δεδομένων της ΕΕ (GDPR)
Η διαδικασία
Η νομοθετική διαδικασία της Ευρωπαϊκής Ένωσης. Η Συνήθης Νομοθετική Διαδικασία, καθώς σχετίζεται με τη νομοθεσία για την ιδιωτική ζωή και την προστασία των δεδομένων
Ο κανονισμός για την προστασία των γενικών δεδομένων βρίσκεται επί του παρόντος στην τακτική νομοθετική διαδικασία στα αρμόδια νομοθετικά όργανα της Ένωσης. Όπως υποδηλώνει το όνομα, αυτή είναι η πιο κοινή μορφή δημιουργίας νομοθεσίας, καθώς το 89% όλων των προτάσεων μεταξύ του 2009 και του 2014 υποβλήθηκε σε αυτή τη διαδικασία. Επί του παρόντος, το GDPR μόλις κατέληξε σε συμφωνία στο ανεπίσημο στάδιο διαπραγμάτευσης που αναφέρεται ως "τριμερή" μετά την έγκριση των πρώτων αναγνώσεων τόσο από το Κοινοβούλιο όσο και από το Συμβούλιο. Το ακόλουθο άρθρο θα περιγράφει τα μέρη που εμπλέκονται στη νομοθετική διαδικασία, τι ακριβώς έχει μέχρι τώρα ο κανονισμός αυτός και τι πρόκειται να συμβεί.
Υπάρχουν τρεις ευρωπαϊκές αρχές επίσημα υπεύθυνες για τη νομοθετική διαδικασία και δύο συμβουλευτικά όργανα που αξίζει να σημειωθούν για τη συγκεκριμένη σχέση τους με την ιδιωτική ζωή των δεδομένων:
Αρμόδια όργανα
Ευρωπαϊκή Επιτροπή: Η Ευρωπαϊκή Επιτροπή είναι το εκτελεστικό όργανο της ΕΕ. Αντιπροσωπεύει τα συμφέροντα της Ευρωπαϊκής Ένωσης στο σύνολό της μέσω ενός συνόλου 28 Επιτρόπων, ενός εκάστου κράτους μέλους και 23.000 μελών του προσωπικού. Ο οργανισμός εργάζεται βάσει συλλογικής διαδικασίας λήψης αποφάσεων προκειμένου να ολοκληρώσει τον ρόλο του στην προτεινόμενη νομοθεσία, στην επιβολή του ευρωπαϊκού δικαίου (με τη βοήθεια του Δικαστηρίου), στην εκπροσώπηση της ΕΕ σε διεθνές επίπεδο, στον καθορισμό στόχων και στη διαχείριση των πολιτικών της ΕΕ και του προϋπολογισμού .
Ευρωπαϊκό Κοινοβούλιο: Το Ευρωπαϊκό Κοινοβούλιο είναι το μόνο όργανο των οποίων τα μέλη εκλέγονται άμεσα από τους πολίτες της ΕΕ. Σκοπός του είναι να διατηρήσει τη δημοκρατία και να εκπροσωπήσει τα συμφέροντα του λαού. Διαθέτει αρμοδιότητες σχετικά με τη θέσπιση νομοθεσίας, τον προϋπολογισμό της ΕΕ, τον Πρόεδρο και τους διορισμούς της Επιτροπής. Αποτελείται από 751 μέλη, εκλεγμένα σε πενταετή θητεία, με εκπροσώπηση που βασίζεται στον πληθυσμό κάθε κράτους μέλους.
Συμβούλιο Υπουργών της Ευρωπαϊκής Ένωσης: Το Συμβούλιο των Υπουργών της Ευρωπαϊκής Ένωσης εκπροσωπεί τις κυβερνήσεις κάθε κράτους μέλους. Το Κοινοβούλιο συμμερίζεται την εξουσία έγκρισης της νομοθεσίας και του προϋπολογισμού με το Κοινοβούλιο και συντονίζει επίσης την πολιτική για τα μεμονωμένα κράτη μέλη καθώς και την εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης. Βάσει προτάσεων της Επιτροπής, το Συμβούλιο είναι το έγκυρο όργανο που συνάπτει και υπογράφει διεθνείς συμφωνίες. Στις συνεδριάσεις του Συμβουλίου συμμετέχουν εκπρόσωποι (είτε υπουργοί είτε δημόσιοι γραμματείς) που έχουν το δικαίωμα να δεσμεύσουν τις χώρες τους και να ψηφίσουν.
Συμβουλευτικά όργανα
Ομάδα εργασίας του άρθρου 29 για την προστασία δεδομένων: Η ομάδα εργασίας του άρθρου 29 είναι και συμβουλευτικό όργανο που έχει συσταθεί βάσει της οδηγίας 95/46 / ΕΚ για την προστασία δεδομένων και αποτελείται από εκπροσώπους των εθνικών αρχών προστασίας δεδομένων (DPA), του ΕΕΠΔ και της Ευρωπαϊκής Επιτροπής. Ο ρόλος της είναι να συμβουλεύει την Επιτροπή σε θέματα γενικής προστασίας δεδομένων καθώς και σε νόμους της ΕΕ που ενδέχεται να επηρεάσουν την ιδιωτική ζωή των δεδομένων. Προωθεί επίσης την ομοιόμορφη εφαρμογή της οδηγίας για την προστασία των δεδομένων σε ολόκληρη την ΕΕ.
Ευρωπαίος Επόπτης Προστασίας Δεδομένων: Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων είναι η ανεξάρτητη εποπτική αρχή που συγκροτήθηκε το 2014 από το Κοινοβούλιο και το Συμβούλιο για να συμβουλεύει τις διοικήσεις της ΕΕ σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και την εποπτεία αυτών των οργανισμών προκειμένου να διασφαλιστεί η τήρηση των κανονισμών τους. Ο ΕΕΠΔ χειρίζεται επίσης τις καταγγελίες και παρακολουθεί τις νέες τεχνολογίες που σχετίζονται με την επεξεργασία προσωπικών δεδομένων.
Η συνήθης νομοθετική διαδικασία καλύπτει την πλειοψηφία του λεγόμενου δευτερογενούς δικαίου, το οποίο απορρέει από τις αρχές και τους στόχους που ορίζονται στις Συνθήκες της ΕΕ και περιλαμβάνει κανονισμούς, οδηγίες και αποφάσεις. Είναι πάντοτε σημαντικό να σημειωθεί ότι το GDPR είναι ένας κανονισμός, ο οποίος εφαρμόζεται άμεσα σε ολόκληρη την Ένωση, και όχι μια οδηγία, η οποία πρέπει να μεταφερθεί στο εθνικό δίκαιο από κάθε μεμονωμένο κράτος μέλος. Η διαδικασία ξεκινά με πρόταση της Επιτροπής, η οποία πρόκειται να εγκριθεί, να απορριφθεί ή να τροποποιηθεί μέσω διαδικασίας συναπόφασης μεταξύ του Κοινοβουλίου και του Συμβουλίου. Το Κοινοβούλιο αποστέλλει για πρώτη φορά την πρόταση προκειμένου να προβεί σε πρώτη ανάγνωση, στην οποία αποδέχεται ή κάνει τροποποιήσεις, πριν το διαβιβάσει στο Συμβούλιο για πρώτη ανάγνωση. Εάν το συμβούλιο υιοθετήσει τη θέση του Κοινοβουλίου, η νομοθεσία εγκρίνεται, ωστόσο εάν υπάρξουν περαιτέρω τροποποιήσεις από το Συμβούλιο, και τα τρία όργανα συνέρχονται για τις διαπραγματεύσεις του τριμερούς διαλόγου. Είναι δυνατόν ένα νομοθετικό κείμενο να συνεχιστεί σε δεύτερη ανάγνωση τόσο από το Κοινοβούλιο όσο και από το Συμβούλιο, και μάλιστα ακόμη ένα τελικό στάδιο γνωστό ως στάδιο συνδιαλλαγής. Εάν η νομοθεσία δεν υιοθετηθεί σε κανένα στάδιο, μπορεί να αναστηθεί μόνο ως νέα πρόταση της Επιτροπής, για να επαναλάβει ολόκληρη τη διαδικασία.
Το GDPR προτάθηκε αρχικά από την Επιτροπή τον Ιανουάριο του 2012, όπως τροποποιήθηκε από το Κοινοβούλιο κατά την πρώτη ανάγνωση τον Μάρτιο του 2014 και τροποποιήθηκε τελευταία από το Συμβούλιο κατά την πρώτη του ανάγνωση τον Ιούνιο του 2015. Η πρώτη τριμερής συνεδρίαση διεξήχθη Στις 24 Ιουνίου, με στόχο από τα τρία όργανα της ΕΕ να επιτύχουν συμφωνία μέχρι τα τέλη του 2015. Ωστόσο, οι διαπραγματεύσεις αυτές μπορούν να επεκταθούν με συμφωνία μεταξύ των ηγετών κάθε συμβαλλόμενου μέρους σύμφωνα με τους κανόνες που ορίζονται στην κοινή δήλωση για την πρακτική Ρυθμίσεις για τη διαδικασία συναπόφασης, οι οποίες διέπουν τις τριμερείς συναντήσεις. Μια πιο στιβαρή χρονική στιγμή των εκδηλώσεων για το GDPR μπορεί να βρεθεί εδώ και μια συζήτηση για τα θέματα που πιθανόν να ήταν τα πιο έντονα συζητημένα μπορεί να βρεθεί εδώ.
Πραγματοποιήθηκε πολιτική συμφωνία στις 15 Δεκεμβρίου 2015, αφήνοντας τον κανονισμό να υπογραφεί τον Ιανουάριο του 2016 από τους προέδρους και τους γενικούς γραμματείς του Κοινοβουλίου και του Συμβουλίου, οπότε το κείμενο θα δημοσιευθεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Ο κανονισμός θα είναι άμεσα δεσμευτικός σε ολόκληρη την ΕΕ μετά από την περίοδο των δύο ετών χάριτος που αρχίζει την ημερομηνία δημοσίευσης.
Ο κανονισμός
Αλλαγές κλειδιού GDPR. Μια επισκόπηση των κυριότερων αλλαγών στο GDPR και του τρόπου με τον οποίο διαφέρουν από την προηγούμενη οδηγία
Στόχος του GDPR είναι να προστατεύσει όλους τους πολίτες της ΕΕ από την ιδιωτική ζωή και τις παραβιάσεις των δεδομένων στον σημερινό κόσμο που βασίζεται σε δεδομένα. Μολονότι οι βασικές αρχές της προστασίας της ιδιωτικής ζωής εξακολουθούν να ισχύουν στην προηγούμενη οδηγία, έχουν προταθεί πολλές αλλαγές στις ρυθμιστικές πολιτικές. τα βασικά σημεία του GDPR καθώς και πληροφορίες σχετικά με τις επιπτώσεις που θα έχει στις επιχειρήσεις μπορούν να βρεθούν παρακάτω.
Αυξημένη εδαφική εμβέλεια (εξωεδαφική εφαρμογή): Αναμφισβήτητα η μεγαλύτερη αλλαγή στο ρυθμιστικό περιβάλλον της ιδιωτικής ζωής δεδομένων έρχεται με την επέκταση της δικαιοδοσίας του GDPR, καθώς ισχύει για όλες τις εταιρείες που επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων που διαμένουν στην Ένωση, τοποθεσία. Προηγουμένως, η εδαφική εφαρμογή της οδηγίας ήταν διφορούμενη και αναφέρεται σε διαδικασία επεξεργασίας δεδομένων «στο πλαίσιο εγκατάστασης». Το θέμα αυτό έχει προκύψει σε πολλές περιπτώσεις δικαστικών οργάνων. Το GDPR καθιστά σαφή την εφαρμογή του - ισχύει για την επεξεργασία προσωπικών δεδομένων από ελεγκτές και μεταποιητές στην ΕΕ, ανεξάρτητα από το εάν η επεξεργασία πραγματοποιείται στην ΕΕ ή όχι. Το GDPR ισχύει επίσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων στην ΕΕ από υπεύθυνο επεξεργασίας ή μεταποιητή που δεν είναι εγκατεστημένος στην ΕΕ, όπου οι δραστηριότητες αφορούν: προσφορά αγαθών ή υπηρεσιών σε πολίτες της ΕΕ (ανεξάρτητα από το αν απαιτείται πληρωμή) παρακολούθηση της συμπεριφοράς που λαμβάνει χώρα εντός της ΕΕ. Οι επιχειρήσεις εκτός ΕΕ που επεξεργάζονται τα δεδομένα των πολιτών της ΕΕ πρέπει επίσης να διορίσουν εκπρόσωπο στην ΕΕ.
Κυρώσεις: Οι οργανισμοί που παραβιάζουν το GDPR μπορούν να επιβληθούν πρόστιμο μέχρι 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή € 20 εκατ. (Όποιο είναι μεγαλύτερο). Πρόκειται για το ανώτατο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις, π.χ. δεν υπάρχει επαρκής συναίνεση του πελάτη για την επεξεργασία δεδομένων ή την παραβίαση του πυρήνα των εννοιών «Απόρρητο από το σχεδιασμό». Υπάρχει κλιμακωτή προσέγγιση όσον αφορά τα πρόστιμα, π.χ. μια εταιρεία μπορεί να επιβληθεί πρόστιμο 2% για μη τήρηση των αρχείων της (άρθρο 28), χωρίς να ενημερώσει την εποπτεύουσα αρχή και το υποκείμενο των δεδομένων για παραβίαση ή μη διενέργεια αξιολόγησης αντικτύπου. Είναι σημαντικό να σημειωθεί ότι αυτοί οι κανόνες ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους επεξεργαστές - που σημαίνει ότι τα «σύννεφα» δεν εξαιρούνται από την επιβολή του GDPR.
Συναίνεση: Οι όροι για τη συναίνεση έχουν ενισχυθεί και οι εταιρείες δεν είναι πλέον σε θέση να χρησιμοποιούν μακρούς δυσανάγνωστους όρους και συνθήκες γεμάτους νομικά. Η αίτηση συγκατάθεσης πρέπει να παρέχεται με κατανοητή και εύκολα προσβάσιμη μορφή, με σκοπό την επεξεργασία δεδομένων που επισυνάπτεται στη συναίνεση αυτή. Η συγκατάθεση πρέπει να είναι σαφής και διακριτή από άλλα θέματα και να παρέχεται με κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Πρέπει να είναι τόσο εύκολο να αποσύρετε τη συγκατάθεση, όπως είναι να την δώσετε.
Δικαιώματα υποκειμένων δεδομένων
Ειδοποίηση παραβίασης: Σύμφωνα με το GDPR, οι ειδοποιήσεις παραβίασης είναι πλέον υποχρεωτικές σε όλα τα κράτη μέλη όπου μια παραβίαση δεδομένων είναι πιθανό να "οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων". Αυτό πρέπει να γίνει εντός 72 ωρών από την πρώτη στιγμή της συνειδητοποίησης της παραβίασης. Οι επεξεργαστές δεδομένων υποχρεούνται επίσης να ειδοποιούν τους πελάτες τους, τους ελεγκτές, "χωρίς αδικαιολόγητη καθυστέρηση", αφού πρώτα καταλάβουν την παραβίαση δεδομένων.
Δικαίωμα πρόσβασης: Μέρος των διευρυμένων δικαιωμάτων των προσώπων στα οποία περιγράφεται το GDPR είναι το δικαίωμα των υποκειμένων των δεδομένων να λαμβάνουν επιβεβαίωση από τον υπεύθυνο επεξεργασίας για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν υποβάλλονται σε επεξεργασία, πού και για ποιο σκοπό. Επιπλέον, ο ελεγκτής παρέχει δωρεάν αντίγραφο των προσωπικών δεδομένων σε ηλεκτρονική μορφή. Αυτή η αλλαγή είναι μια δραματική αλλαγή στη διαφάνεια των δεδομένων και την ενδυνάμωση των υποκειμένων των δεδομένων.
Δικαίωμα να ξεχαστεί: Επίσης γνωστό ως "Διαγραφή δεδομένων", το δικαίωμα να λησμονούμε επιτρέπει στο υποκείμενο των δεδομένων να διαγράψει τα δεδομένα προσωπικού χαρακτήρα από τον ελεγκτή δεδομένων, να παύσει την περαιτέρω διάδοση των δεδομένων και ενδεχομένως να σταματήσει την επεξεργασία των δεδομένων από τρίτους. Οι όροι για τη διαγραφή, όπως περιγράφονται στο άρθρο 17, περιλαμβάνουν τα δεδομένα που δεν έχουν πλέον σχέση με τους αρχικούς σκοπούς επεξεργασίας ή το υποκείμενο των δεδομένων που αποσύρει τη συναίνεση. Πρέπει επίσης να σημειωθεί ότι αυτό το δικαίωμα απαιτεί από τους ελεγκτές να συγκρίνουν τα δικαιώματα των υποκειμένων με το "δημόσιο συμφέρον για τη διαθεσιμότητα των δεδομένων" κατά την εξέταση τέτοιων αιτημάτων.
Φορητότητα δεδομένων: Η GDPR εισάγει τη φορητότητα δεδομένων - το δικαίωμα του υποκειμένου των δεδομένων να λαμβάνει τα προσωπικά δεδομένα που τον αφορούν - τα οποία παρείχαν στο παρελθόν σε μια «ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή» και έχουν το δικαίωμα να μεταδίδουν τα δεδομένα αυτά σε άλλο ελεγκτή.
Προστασία δεδομένων από το σχέδιο: Η προστασία της ιδιωτικής ζωής από το σχεδιασμό ως έννοια έχει υπάρξει εδώ και χρόνια, αλλά απλώς γίνεται μέρος μιας νομικής απαίτησης με το GDPR. Στον πυρήνα της, η προστασία της ιδιωτικής ζωής από το σχεδιασμό απαιτεί την ενσωμάτωση της προστασίας των δεδομένων από την αρχή του σχεδιασμού των συστημάτων, παρά την προσθήκη. Ειδικότερα, «Ο υπεύθυνος της επεξεργασίας ... εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ... με αποτελεσματικό τρόπο ... προκειμένου να ανταποκριθεί στις απαιτήσεις του παρόντος κανονισμού και να προστατεύσει τα δικαιώματα των υποκειμένων των δεδομένων». Το άρθρο 23 ζητεί από τους ελεγκτές να διατηρούν και να επεξεργάζονται μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την εκπλήρωση των καθηκόντων τους (ελαχιστοποίηση των δεδομένων), καθώς και τον περιορισμό της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε όσους χρειάζεται να διεξάγουν την επεξεργασία.
Υπεύθυνοι Προστασίας Δεδομένων: Σύμφωνα με το GDPR δεν είναι απαραίτητο να υποβάλλονται κοινοποιήσεις / καταχωρήσεις σε κάθε τοπική DPA των δραστηριοτήτων επεξεργασίας δεδομένων, ούτε είναι υποχρεωτική η κοινοποίηση / απόκτηση έγκρισης για μεταφορές βάσει των Μοντέλων Συμβολαίου (MCC). Αντίθετα, υπάρχουν απαιτήσεις εσωτερικής τήρησης αρχείων, όπως εξηγείται περαιτέρω παρακάτω, και ο διορισμός των DPO είναι υποχρεωτικός μόνο για τους ελεγκτές και τους μεταποιητές των οποίων οι βασικές δραστηριότητες συνίστανται σε επεξεργασίες που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή σε ειδικές κατηγορίες δεδομένα ή δεδομένα σχετικά με ποινικές καταδίκες και αξιόποινες πράξεις.
______________________________________________________________________
NETHERLANDS | NEDERLAND
De EU Algemene Verordening Gegevensbescherming (GDPR)
Het proces
Het wetgevingsproces van de Europese Unie. Het gewone wetgevingsproces met betrekking tot de privacy- en gegevensbeschermingswetgeving
De algemene verordening gegevensbescherming ondergaat momenteel de gewone wetgevingsprocedure binnen de relevante wetgevende organen van de Unie. Zoals de naam suggereert, is dit de meest voorkomende vorm van wetgevingcreatie omdat 89% van alle voorstellen tussen 2009 en 2014 dit proces onderging. Op dit moment heeft de AVG zojuist overeenstemming bereikt in de informele onderhandelingsfase, de "trialogen" genoemd, na de goedkeuring van de eerste lezingen door zowel het Parlement als de Raad. Het volgende artikel schetst de partijen die betrokken zijn bij het wetgevingsproces, wat precies deze verordening tot dusverre heeft doorgemaakt en wat nog moet komen.
Er zijn drie Europese autoriteiten die officieel verantwoordelijk zijn voor het wetgevingsproces en twee adviesorganen die de moeite waard zijn op te merken vanwege hun specifieke relatie met gegevensprivacy:
Gezaghebbende instanties
Europese Commissie: de Europese Commissie is het uitvoerende orgaan van de EU. Het vertegenwoordigt de belangen van de Europese Unie als geheel door in totaal 28 commissarissen, een uit elke lidstaat, en 23.000 personeelsleden. Het orgaan werkt op basis van collectieve besluitvorming om de rol van het voorstellen van wetgeving te voltooien, de Europese wetgeving te handhaven (met de hulp van het Hof van Justitie), de EU internationaal te vertegenwoordigen, doelstellingen vast te stellen en het EU-beleid en de begroting te beheren. .
Europees Parlement: het Europees Parlement is het enige orgaan waarvan de leden rechtstreeks door de burgers van de EU worden gekozen. Het doel is om de democratie te behouden en de belangen van de mensen te behartigen. Het heeft bevoegdheden over het goedkeuren van wetgeving, de EU-begroting, en de president en benoemingen van de Commissie. Het bestaat uit 751 leden, gekozen voor een periode van vijf jaar, met vertegenwoordiging op basis van de bevolking van elke lidstaat.
Raad van Ministers van de Europese Unie: de Raad van Ministers van de Europese Unie vertegenwoordigt de regeringen van elke lidstaat. Het deelt de kracht van adoptie voor wetgeving en de begroting met het Parlement, en coördineert ook het beleid voor de afzonderlijke lidstaten evenals het buitenlands en veiligheidsbeleid voor de Unie. Op basis van voorstellen van de Commissie is de Raad het gezaghebbende orgaan om internationale overeenkomsten te sluiten en te ondertekenen. De raadsvergaderingen worden bijgewoond door vertegenwoordigers (ministers of staatssecretarissen) die het recht hebben hun landen te committeren en hun stem uit te brengen.
Adviesorganen
Groep gegevensbescherming artikel 29: de Groep van artikel 29 is en adviesorgaan opgericht krachtens de Richtlijn gegevensbescherming 95/46 / EG en is samengesteld uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten (DPA), de EDPS en de Europese Commissie. Het heeft tot taak de Commissie te adviseren over algemene gegevensbeschermingsaangelegenheden en over wetten van de EU die van invloed kunnen zijn op de privacy van gegevens. Het bevordert ook de uniforme toepassing van de gegevensbeschermingsrichtlijn in de hele EU.
Europese toezichthouder voor gegevensbescherming: de Europese Toezichthouder voor gegevensbescherming is de onafhankelijke toezichthoudende autoriteit die in 2014 door het Parlement en de Raad is opgericht om EU-overheidsdiensten te adviseren over de verwerking van persoonsgegevens, en om toezicht uit te oefenen op deze organen om ervoor te zorgen dat ze voldoen aan hun eigen voorschriften. De EDPS behandelt ook klachten en bewaakt nieuwe technologieën die verband houden met de verwerking van persoonsgegevens.
De gewone wetgevingsprocedure bestrijkt de meerderheid van het zogeheten secundaire recht, dat is afgeleid van de beginselen en doelstellingen die zijn vastgelegd in de EU-Verdragen en dat verordeningen, richtlijnen en besluiten omvat. Het is altijd belangrijk op te merken dat de AVG een verordening is die onmiddellijk van toepassing is in de hele Unie, en niet als een richtlijn die door elke afzonderlijke lidstaat in nationale wetgeving moet worden omgezet. Het proces begint met een voorstel van de Commissie, dat moet worden goedgekeurd, afgewezen of gewijzigd via een medebeslissingsproces tussen het Parlement en de Raad. Het Parlement wordt eerst het voorstel toegezonden om zijn eerste lezing te maken, dat wordt aanvaard of gewijzigd, alvorens het voor zijn eigen eerste lezing aan de Raad door te geven. Als de Raad het standpunt van het Parlement goedkeurt, is de wetgeving aangenomen, maar als er verdere wijzigingen door de Raad worden aangebracht, komen alle drie de organen bijeen voor de trialoogonderhandelingen. Het is mogelijk dat een stuk wetgeving door zowel het Parlement als de Raad wordt voortgezet tot een tweede lezing, en zelfs nog een laatste fase die bekend staat als de bemiddelingsfase. Als de wetgeving in geen enkel stadium kan worden goedgekeurd, kan deze alleen maar worden opgewekt als een nieuw voorstel van de Commissie om het hele proces opnieuw te herhalen.
De AVGB werd aanvankelijk door de Commissie voorgesteld in januari 2012, in eerste lezing in maart 2014 door het Parlement gewijzigd en laatstelijk door de Raad in eerste lezing in juni 2015 gewijzigd. De eerste trialoogvergadering vond plaats over de 24 juni, met een verklaard doel van de drie EU-organen om tegen 2015 een overeenkomst te bereiken. Deze onderhandelingen kunnen echter worden verlengd met overeenstemming tussen de leiders van elke partij volgens de regels die zijn uiteengezet in de Gemeenschappelijke verklaring over praktische zaken. Regelingen voor de medebeslissingsprocedure, die van toepassing zijn op de trialoogvergaderingen. Een meer robuuste tijdlijn van evenementen voor de GDPR is hier te vinden, en een bespreking van de onderwerpen die waarschijnlijk het meest intens gedebatteerd zijn, is hier te vinden.
Op 15 december 2015 werd een politiek akkoord bereikt, waarbij de verordening in januari 2016 werd ondertekend door de voorzitters en de secretarissen-generaal van zowel het Parlement als de Raad, waarna de tekst in het Publicatieblad van de Europese Unie zal worden gepubliceerd. De verordening is in de hele EU direct bindend na de aflossingsvrije periode van twee jaar die begint op de publicatiedatum.
De verordening
Wijzigingen GDPR-sleutel. Een overzicht van de belangrijkste wijzigingen onder GDPR en hoe deze verschillen van de vorige richtlijn
Het doel van de AVG is om alle EU-burgers te beschermen tegen privacy- en datalekken in de door gegevens gestuurde wereld van vandaag. Hoewel de belangrijkste principes van gegevensprivacy nog steeds in overeenstemming zijn met de vorige richtlijn, zijn er veel wijzigingen in het regelgevingsbeleid voorgesteld; de kernpunten van de GDPR, evenals informatie over de gevolgen voor het bedrijfsleven, vindt u hieronder.
Verhoogde territoriale reikwijdte (extraterritoriale toepasselijkheid): de grootste verandering in het regelgevingslandschap van gegevensprivacy komt waarschijnlijk voort uit de uitgebreide jurisdictie van de GDPR, aangezien deze van toepassing is op alle bedrijven die de persoonsgegevens van betrokkenen in de Unie verwerken, ongeacht het bedrijf plaats. Eerder was de territoriale toepasbaarheid van de richtlijn dubbelzinnig en verwees naar het gegevensproces 'in de context van een inrichting'. Dit onderwerp is naar voren gekomen in een aantal spraakmakende rechtszaken. GDPR maakt de toepasbaarheid heel duidelijk - het is van toepassing op de verwerking van persoonsgegevens door controlemechanismen en verwerkers in de EU, ongeacht of de verwerking plaatsvindt in de EU of niet. De AVG is ook van toepassing op de verwerking van persoonsgegevens van betrokkenen in de EU door een niet in de EU gevestigde voor de verwerking verantwoordelijke of verwerker, waar de activiteiten betrekking hebben op: aanbieden van goederen of diensten aan EU-burgers (ongeacht of betaling vereist is) en monitoring van gedrag dat plaatsvindt binnen de EU. Niet-EU-bedrijven die de gegevens van EU-burgers verwerken, moeten ook een vertegenwoordiger in de EU benoemen.
Sancties: Organisaties die de GDPR schenden, kunnen een boete krijgen van maximaal 4% van de jaarlijkse wereldwijde omzet of € 20 miljoen (wat het grootste bedrag is). Dit is de maximale boete die kan worden opgelegd voor de ernstigste inbreuken, bijvoorbeeld als er niet voldoende toestemming van de klant is om gegevens te verwerken of de kern van Privacy by Design-concepten te schenden. Er is een gelaagde aanpak van boetes, bijvoorbeeld een bedrijf kan 2% beboeten wegens het niet op orde hebben van zijn administratie (artikel 28), de toezichthoudende autoriteit en de betrokkene niet op de hoogte brengen van een inbreuk of geen effectbeoordeling uitvoeren. Het is belangrijk op te merken dat deze regels van toepassing zijn op zowel controllers als processors. Dit betekent dat 'clouds' niet zijn vrijgesteld van GDPR-handhaving.
Toestemming: de toestemmingsvoorwaarden zijn aangescherpt en bedrijven kunnen niet langer gebruik maken van lang onleesbare bepalingen en voorwaarden vol legalese. Het verzoek om toestemming moet worden ingediend in een begrijpelijke en gemakkelijk toegankelijke vorm, met het doel van gegevensverwerking bij die toestemming gevoegd. Toestemming moet duidelijk en onderscheidbaar zijn van andere zaken en moet worden verstrekt in een begrijpelijke en gemakkelijk toegankelijke vorm, met gebruikmaking van duidelijke en duidelijke taal. Het moet zo gemakkelijk zijn om toestemming in te trekken als het is om het te geven.
Rechten van de betrokkene
Aankondiging van schending: krachtens de GDPR zijn meldingsverklaringen nu verplicht in alle lidstaten waar een datalek waarschijnlijk tot "een risico voor de rechten en vrijheden van individuen" leidt. Dit moet binnen 72 uur na het eerste bekend worden van de overtreding worden gedaan. Dataprocessors zijn ook verplicht om hun klanten, de controllers, op de hoogte te stellen "zonder onnodige vertraging" nadat ze zich voor het eerst bewust zijn geworden van een datalek.
Recht op toegang: een deel van de uitgebreide rechten van de door de GDPR geschetste gegevenssubjecten is het recht van betrokkenen om bevestiging te verkrijgen van de verantwoordelijke voor de verwerking van de vraag of persoonsgegevens met betrekking tot hen worden verwerkt, waar en voor welk doel dan ook. Verder moet de verantwoordelijke voor de verwerking kosteloos een kopie van de persoonsgegevens in elektronische vorm beschikbaar stellen. Deze verandering is een dramatische verschuiving naar gegevenstransparantie en empowerment van betrokkenen.
Right to Be Forgotten: ook wel Data Erasure genoemd, het recht om te worden vergeten geeft de betrokkene het recht om de datacontroller zijn / haar persoonlijke gegevens te laten wissen, verdere verspreiding van de gegevens te stoppen en mogelijk derden de verwerking van de gegevens stop te zetten. De voorwaarden voor verwijdering, zoals uiteengezet in artikel 17, omvatten de gegevens die niet langer relevant zijn voor de oorspronkelijke doeleinden voor verwerking, of een betrokkene die zijn toestemming intrekt. Er moet ook worden opgemerkt dat dit recht controllers vereist om de rechten van de subjecten te vergelijken met "het publieke belang in de beschikbaarheid van de gegevens" bij het overwegen van dergelijke verzoeken.
Dataportabiliteit: GDPR introduceert dataportabiliteit - het recht voor een betrokkene om de persoonlijke gegevens die hen betreffen te ontvangen - die ze eerder hebben verstrekt in een 'gebruikelijk en machinaal leesbaar formaat' en het recht hebben om die gegevens naar een andere controller te verzenden.
Privacy by Design: privacy by design als concept bestaat al jaren, maar het wordt nog maar net deel van een wettelijke vereiste met de GDPR. In wezen vereist privacy by design dat gegevensbescherming vanaf het begin van het ontwerpen van systemen wordt opgenomen in plaats van een toevoeging. Meer in het bijzonder: "De voor de verwerking verantwoordelijke moet ... passende technische en organisatorische maatregelen treffen ... op een doeltreffende manier ... om te voldoen aan de vereisten van deze verordening en de rechten van betrokkenen te beschermen". Artikel 23 roept de controllers op om alleen de gegevens te bewaren en te verwerken die absoluut noodzakelijk zijn voor het vervullen van hun taken (gegevensminimalisatie), en om de toegang tot persoonsgegevens te beperken tot degenen die de verwerking moeten uitvoeren.
Functionarissen voor gegevensbescherming: in het kader van GDPR is het niet nodig om kennisgevingen / registraties aan elke lokale gegevensbeschermingsautoriteit voor te leggen voor gegevensverwerkingsactiviteiten, noch is het een vereiste kennisgeving / goedkeuring voor overdrachten op basis van Modelcontractbepalingen (MCC's) te verkrijgen. In plaats daarvan zijn er interne vereisten voor het bijhouden van gegevens, zoals hieronder nader wordt toegelicht, en is DPO-aanstelling alleen verplicht voor die controllers en verwerkers waarvan de kernactiviteiten bestaan uit verwerkingsactiviteiten die regelmatige en systematische monitoring van betrokkenen op grote schaal of van speciale categorieën van gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
______________________________________________________________________
ROMANIA | ROMÂNIA
Regulamentul UE privind protecția generală a datelor (GDPR)
Procesul
Procesul legislativ al Uniunii Europene. Procesul legislativ obișnuit, deoarece se referă la legislația privind confidențialitatea și protecția datelor
Regulamentul general privind protecția datelor se află în prezent în procedura legislativă ordinară în cadrul organelor legislative relevante ale Uniunii. După cum sugerează și numele, aceasta este cea mai comună formă de creare a legislației, deoarece 89% din toate propunerile între 2009 și 2014 au suferit acest proces. În prezent, GDPR tocmai a ajuns la un acord în etapa negocierilor neoficiale, denumită "trilog", ca urmare a adoptării primelor lecturi atât de Parlament, cât și de Consiliu. Următorul articol va sublinia părțile implicate în procesul legislativ, ce anume a făcut până acum această reglementare și ce urmează să vină.
Există trei autorități europene responsabile în mod oficial de procesul legislativ și două organisme consultative care merită remarcate pentru relația lor specifică cu confidențialitatea datelor:
Organisme autoritare
Comisia Europeană: Comisia Europeană este organul executiv al UE. Acesta reprezintă interesele Uniunii Europene în ansamblul ei, prin intermediul a 28 de comisari, câte unul din fiecare stat membru, și 23.000 de membri ai personalului. Organismul funcționează pe baza unui proces colectiv de luare a deciziilor pentru a-și îndeplini rolul de a propune o legislație, de a pune în aplicare legislația europeană (cu ajutorul Curții de Justiție), de a reprezenta UE pe plan internațional, de a stabili obiective și de a gestiona politicile UE și bugetul .
Parlamentul European: Parlamentul European este singurul organ al cărui membri sunt aleși în mod direct de către cetățenii UE. Obiectivul este să păstreze democrația și să reprezinte interesele poporului. Acesta deține competențe în ceea ce privește adoptarea legislației, bugetul UE, președintele și numirile Comisiei. Ea este alcătuită din 751 de membri, aleși în termen de cinci ani, cu reprezentare bazată pe populația fiecărui stat membru.
Consiliul de Miniștri al Uniunii Europene: Consiliul Miniștrilor Uniunii Europene reprezintă guvernele fiecărui stat membru. El împărtășește puterea adoptării pentru legislație și buget cu Parlamentul și coordonează politica pentru fiecare stat membru, precum și politica externă și de securitate pentru Uniune. Pe baza propunerilor Comisiei, Consiliul este organismul autoritar care încheie și semnează acorduri internaționale. La reuniunile consiliului participă reprezentanți (fie miniștri, fie secretari de stat) care au dreptul să-și angajeze țările și să-și voteze.
Organele consultative
Articolul 29 Grupul de lucru pentru protecția datelor cu caracter personal: Grupul de lucru pentru articolul 29 este un organism consultativ înființat în temeiul Directivei 95/46 / CE privind confidențialitatea datelor și este alcătuit din reprezentanți ai autorităților naționale pentru protecția datelor (DPA), AEPD și Comisia Europeană. Rolul său este de a consilia Comisia cu privire la chestiunile generale de protecție a datelor , precum și la legile UE care pot afecta viața privată a datelor. De asemenea, promovează aplicarea uniformă a Directivei privind protecția datelor în întreaga UE.
Autoritatea Europeană pentru Protecția Datelor: Autoritatea Europeană pentru Protecția Datelor este autoritatea independentă de supraveghere înființată în 2014 de către Parlament și Consiliu pentru a consilia administrațiile UE cu privire la prelucrarea datelor cu caracter personal, precum și supravegherea acestor organisme pentru a asigura conformitatea cu propriile reglementări. De asemenea, AEPD se ocupă de plângeri și monitorizează noile tehnologii legate de prelucrarea datelor cu caracter personal.
Procedura legislativă ordinară acoperă majoritatea a ceea ce se numește drept secundar, care derivă din principiile și obiectivele prevăzute în tratatele UE și include reglementări, directive și decizii. Este întotdeauna important să menționăm că GDPR este un regulament, care este imediat aplicabil în întreaga Uniune, și nu o directivă, care trebuie transpusă în legislația națională de fiecare stat membru individual. Procesul începe cu o propunere a Comisiei, care urmează să fie adoptată, respinsă sau modificată printr-un proces de codecizie între Parlament și Consiliu. Parlamentul primește prima propunere pentru a face prima lectură, la care se acceptă sau face amendamente, înainte de a le transmite Consiliului pentru propria lectură. Dacă consiliul adoptă poziția Parlamentului, legislația este adoptată, totuși, dacă există modificări ulterioare de către Consiliu, toate cele trei organe se reunesc pentru negocierile trilogice. Este posibil ca o lege să continue la oa doua lectură atât de către Parlament, cât și de Consiliu, și chiar și în final, cunoscută sub numele de etapă de conciliere. În cazul în care legislația nu este adoptată în niciun moment, ea poate fi resuscită doar ca o nouă propunere a Comisiei, pentru a repeta din nou întregul proces.
GDPR a fost inițial propusă de Comisie în ianuarie 2012, modificată de Parlament în prima sa lectură în martie 2014 și modificată cel mai recent de către Consiliu în prima lectură din iunie 2015. Prima reuniune a trilogului a avut loc la 24 iunie, cu un obiectiv declarat de la cele trei organisme ale UE de a ajunge la un acord până la sfârșitul anului 2015. Cu toate acestea, aceste negocieri pot fi prelungite prin acord între liderii fiecărei părți în conformitate cu normele stabilite prin Declarația comună privind practica Modalități de procedură de codecizie, care guvernează reuniunile trilogice. O cronologie mai clară a evenimentelor pentru GDPR poate fi găsită aici și o discuție despre subiectele care ar putea fi discutate cel mai intens poate fi găsită aici.
Un acord politic a fost încheiat la 15 decembrie 2015, lăsând regulamentul să fie semnat în ianuarie 2016 de către președinții și secretarii generali ai Parlamentului și Consiliului, moment în care textul va fi publicat în Jurnalul Oficial al Uniunii Europene. Regulamentul va fi obligatoriu direct în întreaga UE după perioada de grație de doi ani care începe la data publicării.
Regulamentul
Modificări cheie GDPR. O prezentare generală a principalelor modificări din cadrul GDPR și a modului în care acestea diferă de directiva anterioară
Scopul GDPR este de a proteja toți cetățenii UE de confidențialitatea și încălcarea datelor în lumea actuală a datelor. Deși principiile cheie ale confidențialității datelor respectă în continuare directiva anterioară, au fost propuse numeroase modificări politicilor de reglementare; punctele-cheie ale GDPR, precum și informații despre impactul pe care îl va avea asupra afacerilor pot fi găsite mai jos.
Domeniul de aplicare sporit (aplicabilitate extrateritorială): Se poate spune că cea mai mare schimbare în ceea ce privește confidențialitatea în materie de confidențialitate a datelor provine de la extinderea jurisdicției GDPR, deoarece se aplică tuturor societăților care prelucrează datele cu caracter personal ale persoanelor care au domiciliul în Uniune, Locație. Anterior, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesele de date "în contextul unei unități". Acest subiect a apărut într-o serie de cazuri înalte. GDPR face ca aplicabilitatea să fie foarte clară - se aplică prelucrării datelor personale de către controlorii și prelucrătorii din UE, indiferent dacă prelucrarea are loc sau nu în UE. De asemenea, GDPR se aplică prelucrării datelor cu caracter personal ale persoanelor vizate în UE de către un operator sau un procesator care nu este stabilit în UE, în care activitățile se referă la: oferirea de bunuri sau servicii cetățenilor UE (indiferent dacă este necesară plata) și monitorizarea comportamentului care are loc în cadrul UE. Întreprinderile din afara UE care procesează datele cetățenilor UE trebuie, de asemenea, să numească un reprezentant în UE.
Sancțiuni: Organizațiile care încalcă GDPR pot fi amendate cu până la 4% din cifra de afaceri anuală globală sau 20 milioane de euro (oricare dintre acestea este mai mare). Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, de exemplu, nu are suficient consimțământul clientului de a procesa date sau de a încălca nucleul conceptelor Confidențialitate prin design. Există o abordare diferențiată a amenzilor, de exemplu, o întreprindere poate fi amendată cu 2% pentru a nu avea înregistrările în ordine (articolul 28), fără a notifica autoritatea de supraveghere și persoana vizată despre o încălcare sau de a nu efectua evaluarea impactului. Este important să rețineți că aceste reguli se aplică atât controlorilor, cât și procesatorilor - ceea ce înseamnă că "norii" nu sunt scutiți de aplicarea GDPR.
Consimțământul: Condițiile de consimțământ au fost întărite, iar companiile nu mai pot folosi termeni și condiții lizibile lungi, pline de lege. Cererea de aprobare trebuie să fie furnizată într-o formă inteligibilă și ușor accesibilă, cu scopul de prelucrare a datelor atașată acestui consimțământ. Consimțământul trebuie să fie clar și diferit de alte aspecte și să fie furnizat într-o formă inteligibilă și ușor accesibilă, folosind un limbaj clar și clar. Trebuie să fie la fel de ușor să retrageți consimțământul, așa cum este acesta să-i dați.
Drepturile privind drepturile de date
Înștiințarea privind încălcarea drepturilor de autor: în conformitate cu GDPR, notificările privind încălcarea sunt acum obligatorii în toate statele membre în care o încălcare a datelor ar putea "să ducă la un risc pentru drepturile și libertățile persoanelor". Aceasta trebuie făcută în termen de 72 de ore de la prima constatare a încălcării. De asemenea, procesatorii de date trebuie să-și notifice clienții, controlorii, "fără întârzieri nejustificate", după ce au devenit conștienți de o încălcare a datelor.
Dreptul de acces: o parte a drepturilor extinse ale persoanelor vizate, subliniate de GDPR, este dreptul persoanelor vizate să obțină confirmarea din partea operatorului de date cu privire la prelucrarea datelor cu caracter personal referitoare la acestea, unde și în ce scop. În plus, operatorul furnizează gratuit, într-un format electronic, o copie a datelor cu caracter personal. Această modificare reprezintă o schimbare dramatică a transparenței datelor și a responsabilizării persoanelor vizate.
Dreptul de a fi uitat: De asemenea, cunoscut sub numele de Data Erasure, dreptul de a fi uitat dă dreptul persoanei vizate de a șterge datele personale ale operatorului de date, de a împiedica diseminarea ulterioară a datelor și, eventual, de a opri prelucrarea datelor de către terți. Condițiile de ștergere, astfel cum sunt enunțate la articolul 17, includ datele care nu mai sunt relevante în scopuri originale pentru procesare, sau un subiect de date care retrage consimțământul. De asemenea, trebuie remarcat faptul că acest drept cere controlorilor să compare drepturile subiecților la "interesul public pentru disponibilitatea datelor" atunci când iau în considerare astfel de solicitări.
Portabilitatea datelor: GDPR introduce portabilitatea datelor - dreptul unui subiect de date de a primi datele personale care îi privesc - pe care le-au furnizat anterior într-un format "de uz general și care pot fi citite de mașină" și au dreptul să transmită aceste date unui alt controlor.
Confidențialitatea prin design: confidențialitatea prin design ca concept există de ani de zile, dar devine doar o parte a unei cerințe legale cu GDPR. În centrul său, confidențialitatea prin design solicită includerea protecției datelor de la debutul proiectării sistemelor, mai degrabă decât o adăugare. Mai exact, "Operatorul va ... pune în aplicare măsuri tehnice și organizatorice adecvate ... într-un mod eficient ... pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate". Articolul 23 cere controlorilor să dețină și să prelucreze numai datele absolut necesare pentru îndeplinirea sarcinilor sale (minimizarea datelor), precum și limitarea accesului la datele cu caracter personal celor care trebuie să efectueze procesarea.
Ofițeri de protecție a datelor: În conformitate cu GDPR, nu este necesar să se transmită notificărilor / înregistrărilor fiecărui DPA local al activităților de prelucrare a datelor și nici nu este obligatorie notificarea / obținerea aprobării pentru transferuri pe baza Model Clauzelor de Contract (MCC). În schimb, există cerințe privind păstrarea înregistrărilor interne, după cum se explică în cele ce urmează, iar numirea DPO este obligatorie numai pentru acei operatori și prelucrători ale căror activități principale constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă sau a unor categorii speciale date sau date privind condamnările penale și infracțiunile.
Sem comentários:
Enviar um comentário