Il 25 Maj 2018 web ka ndryshuar një herë e përgjithmonë. Të paktën në Evropë. Edhe nëse shumë nuk e kuptuan në atë kohë, ka qenë që nga ajo ditë GDPR ka hyrë në fuqi, rregullorja e dëshiruar nga Komisioni Evropian për të standardizuar rregullat në lidhje me përpunimin e të dhënave të qytetarëve në të gjithë Kontinentin e Vjetër (përfshirë Zvicrën). GDPR, në veçanti, transpozon, "përfshin" dhe zëvendëson të gjitha rregulloret kombëtare për përpunimin e të dhënave personale dhe mbrojtjen e privatësisë.

Pikërisht, megjithatë, çfarë ka ndryshuar në krahasim me të kaluarën dhe çfarë duhet të bëjnë kompanitë për të shmangur shkeljen e GDPR? DHE Cilat janë dënimet për ata që shkelin GDPR? Le të kuptojmë gjithçka duke analizuar një rast praktik.

Çfarë është GDPR

Akronimi i Rregullorja e përgjithshme e mbrojtjes së të dhënave, Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave në italisht, GDPR është grupi i rregullave dhe rregulloreve që duhet të respektojnë të gjithë subjektet që përpunojnë të dhënat e përdoruesve të internetit. Në veçanti, GDPR merret me përpunimi i të dhënave personale të përdoruesve nga kompanitë, ruajtja e tyre nga këto të fundit dhe mundësia që vetë përdoruesit të mund t'i menaxhojnë ato në mënyrë të thjeshtë dhe të menjëhershme.

GDPR: çfarë ofron

Pikat kyçe rreth të cilave rrotullohet e gjithë struktura e GDPR janë në thelb dy:

• Thjeshtimi i kuadrit rregullator në të cilin kompanitë e gjejnë veten duke lëvizur në tregun e Bashkimit Evropian (dhe vendet e tjera që kanë një traktat me BE-në);
• Jepuni përdoruesve një kontroll më të madh mbi të dhënat e tyre, që nga momenti i blerjes së tyre nga kompania deri në fshirjen e tyre.

Që kjo të jetë e mundur, GDPR kërkon nga kompanitë që kërkesat për miratim duhet të jenë më të qarta dhe "të lexueshme" nga përdoruesit; vendosen kufij për përpunimin dhe përdorimin e të dhënave; vendosja e sanksioneve ndaj kompanive që shkelin dispozitat e rregulloreve të përpunimit të të dhënave. Për më tepër, në rast të një shkeljeje të të dhënave (humbje të të dhënave, që zakonisht rezulton nga një vjedhje e kryer nga kriminelët), kontrolluesi i të dhënave (një profesionist brenda kompanisë, i quajtur Zyrtar për Mbrojtjen e të Dhënave) kërkohet të njoftojë autoritetet dhe pronarët e ligjshëm sa më shpejt të jetë e mundur. Nëse kjo nuk ndodh, dënimet e parashikuara nga GDPR do të bëheshin edhe më të kripura.

Në mesin e vitit 2020, erdhi një risi në lidhje me Pëlqimi për përpunimin e të dhënave që kompanitë mbledhin përmes veglave të internetit. Në dy vitet e mëparshme, në fakt, ishte e mjaftueshme që përdoruesi të lëvizte një pjesë të një faqe interneti për të konsideruar pëlqimin për trajtim si të fituar. Një vendim i Gjykatës Evropiane të Drejtësisë përcakton se pëlqimi duhet të jetë aktiv dhe i paqartë. Kjo do të thotë që përdoruesi, për të pranuar cookies, duhet të klikoni mbi baner për të kërkuar pëlqimin, duke zgjedhur nëse do të autorizoni përdorimin e kukive teknike rreptësisht të nevojshme ose të gjitha kukit. Për këtë arsye, për shembull, ju ndodh të shihni gjithnjë e më shpesh banerin e pëlqimit, edhe nëse është një faqe që vizitoni shpesh.

Çfarë rrezikojnë ata që shkelin GDPR: sanksionet

GDPR gjithashtu ofron sanksionet mjaft e rëndë në rast se përpunimi i të dhënave nga një kompani nuk përputhet me dispozitat e përfshira në to ose është i parregullt në frontin e komunikimit.

Sanksionet janë dy llojesh, në varësi të peshës së shkeljes së kryer. Për shkelje të vogla (si mungesa e regjistrit të përpunimit të të dhënave, moscaktimi i një kontrolluesi të të dhënave, mosnjoftimi i shkeljes së të dhënave) gjobitet. deri në 10 milionë euro ose 2% e xhiros në mbarë botën nëse është më e lartë se kjo shifër. Për shkelje të rënda (si mungesa e pëlqimit për trajtim, shkelje e të drejtave të të interesuarit, informacion i munguar ose i papërshtatshëm i privatësisë dhe shkelje e dispozitave në lidhje me transferimin e të dhënave) gjoba është deri në 20 milionë euro ose 4% e xhiros botërore.

Për shembull, Alphabet, kompania holding që kontrollon Google dhe të gjitha kompanitë në orbitën e gjigantit Mountain View, ka një xhiro vjetore prej 46 miliardë dollarësh dhe, në rast shkeljeje të rëndë, mund të detyrohet të paguajë deri në 1,9 miliardë dollarë gjobë.

Sanksionet GDPR: rasti H&M

Megjithatë, menaxhimi i të dhënave dhe mbrojtja e tyre nuk ka të bëjë vetëm me klientët dhe përdoruesit e faqes. Të dhënat e punonjësve gjithashtu duhet të merren, përpunohen dhe arkivohen duke iu referuar dispozitave të Rregullores së Përgjithshme të Përpunimit të të Dhënave. Një shembull është H&M, gjobitet me mbi 35 milionë euro për shkak se u zbulua duke profilizuar në mënyrë të paligjshme punonjësit e saj. Një shkelje e të dhënave në fakt ka zbuluar një rast real të spiunazhit të brendshëm: të paktën që nga viti 2014, H&M ka regjistruar të dhëna, informacione dhe biseda të punonjësve të saj, duke arkivuar gjithçka (pa autorizim) në serverë privatë.

Një aktivitet profilizues veçanërisht invaziv, e cila padyshim pati një ndikim negativ në marrëdhëniet e punës mes gjigantit suedez të modës dhe punonjësve të tij. Autoriteti i mbrojtjes së të dhënave në Hamburg ka gjobitur H&M në shumën prej 35,3 milionë euro. Nga ana e saj, kompania u kërkoi falje punonjësve të përfshirë në skandal, duke riorganizuar rrënjësisht zyrën.

Një sanksion që shërben edhe si paralajmërim për të gjitha kompanitë e tjera: autoritetet shtetërore (në këtë rast ajo gjermane, por sanksionet janë të njëjta në të gjithë Bashkimin Evropian dhe gjithashtu kanë të bëjnë me kompanitë me qendër jashtë kufijve të BE-së) nuk lejojnë të dhëna. shkeljet ose përpunimin e të dhënave që nuk përputhen me dispozitat e GDPR. Kushdo që kapet në flagrancë për të kryer një krim do të paguajë rëndë për sjelljen e tyre.