Makalenin özeti: ABD’de GDPR? Yeni devlet mevzuatı bunu gerçeğe yaklaştırıyor

Makale, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’nin (GDPR) ABD’deki gizlilik yasaları ve uygulamaları üzerindeki etkisini tartışmaktadır. ABD’nin kapsamlı bir veri gizliliği yasasına sahip olmamasına rağmen, GDPR’nin etkisi zaten görülüyor. Eyalet yasama organları, Kaliforniya Tüketicileri Koruma Yasası gibi kendi veri koruma tüzüklerini geçme girişimini aldı. Büyük teknoloji şirketleri de temel bir ABD gizlilik yasası çağrısında bulunuyor. Ancak, GDPR’nin Kongreyi geçen herhangi bir versiyonunun sulanması muhtemeldir. Makale, Avrupa tarzı veri koruma kurallarının erdemleri olmasına rağmen, yeterli olmayacağını ve daha geniş bir yaklaşıma ihtiyaç olduğunu savunuyor. ABD’nin küresel sonuçları olacak kapsamlı gizlilik yasalarını uygulamak için yakında hareket etmesi gerekiyor.

Anahtar noktaları:

1. ABD kapsamlı bir veri gizlilik yasasını geçmedi.
2. GDPR zaten Amerikan gizlilik yasasını ve uygulamasını dönüştürüyor.
3. Devletler GDPR’den etkilenen kendi veri koruma tüzüklerini geçmeye başladı.
4. Büyük teknoloji şirketleri artık temel bir ABD gizlilik yasası çağrısında bulunuyor.
5. GDPR’nin ABD versiyonunun önemli ölçüde sulanması muhtemeldir.
6. Veri koruma kuralları, çevre, demokrasi, dikkat süreleri ve duygusal sağlık üzerindeki etkisini dikkate almalıdır.
7. Kongre ayrıca büyük teknoloji şirketlerinin tekel güçlerini de ele alabilir.
8. ABD’nin yakında kapsamlı gizlilik yasalarını uygulaması gerekiyor.
9. ABD’deki kapsamlı gizlilik yasalarının veri gizliliği için küresel sonuçları olacak.
10. Virginia, CCPA çerçevesinden sonra kendi Tüketici Veri Koruma Yasasını geçti.

Sorular ve cevaplar:

1. Genel Veri Koruma Yönetmeliği Nedir (GDPR)?

Genel Veri Koruma Yönetmeliği (GDPR), 2018 yılında Avrupa Birliği tarafından kurulan bir veri koruma yasasıdır. AB bireylerinin kişisel verilerini korumak için kuralları ve yetkilileri belirler.

2. GDPR sadece AB’de bulunan kuruluşlar için geçerli mi??

Hayır, GDPR, genel merkezlerine bakılmaksızın, AB vatandaşlarının ve Avrupa Ekonomik Bölgesi (EEA) serbest ticaret bölgesi içindeki herkesin verilerini koruyan herhangi bir kuruluş için geçerlidir.

3. ABD’deki veri gizliliği yasalarının mevcut durumu nedir?

ABD’nin kapsamlı bir veri gizlilik yasası yok. Ancak, devlet düzeyinde, GDPR’den etkilenen veri koruma tüzüklerini geçme girişimleri var.

4. GDPR ABD’deki gizlilik yasalarını nasıl etkiliyor??

GDPR’nin Amerikan Gizlilik Yasası ve Uygulaması üzerinde zaten bir etkisi oldu. Devletler kendi veri koruma tüzüklerini geçirmeye başladı ve büyük teknoloji şirketleri temel bir ABD gizlilik yasası çağrısında bulunuyor.

5. Avrupa GDPR ile ABD Gizlilik Yasaları arasındaki temel farklılıklar nelerdir??

GDPR ve önerilen ABD gizlilik yasaları şeffaflık ve hesap verebilirlik hedeflerini paylaşırken, GDPR’nin bir ABD versiyonunun önemli ölçüde sulanması muhtemeldir. Mevcut ABD Bildirimi ve Seçim Modeli herhangi bir ABD Gizlilik Yasası’na dahil edilebilir.

6. GDPR gibi veri koruma kurallarının sınırlamaları nelerdir??

Veri koruma kuralları kısa görüşlü olabilir ve veri işlemenin çevre, demokrasi, dikkat süreleri ve duygusal sağlık üzerindeki etkisini ele alamaz.

7. Kongre’nin veri gizliliği ile ilgili alternatif seçenekleri var?

Kongre, büyük teknoloji şirketlerinin tekel güçlerine ve bu şirketler ve müşterileri arasındaki güç farklılıklarına daha fazla bakabilir. Bununla birlikte, bir gizlilik yasası aracılığıyla daha geniş bir insan refahı vizyonu uygulamak,.

8. ABD’de kapsamlı gizlilik yasalarına ihtiyaç ne kadar acil?

ABD kapsamlı gizlilik yasalarını uygulamak için sonsuza kadar bekleyemez. Bu yasaların küresel olarak veri gizliliği için sonuçları olacaktır.

9. Virginia’daki Tüketici Veri Koruma Yasası (CDPA) nedir?

CDPA, Virginia’da yürürlüğe giren kapsamlı bir tüketici veri gizliliği yasasıdır. CCPA’nın çerçevesini yakından takip eder ve 1 Ocak 2023’te yürürlüğe girecektir.

10. CCPA çerçevesini takiben hangi eyaletler gizlilik yasaları önerdi??

Washington ve New York, CCPA’yı yansıtan gizlilik yasaları önerdi.

11. İşletmelerin Virginia’daki CDPA’ya uyması gereksinimleri nelerdir??

En az 100.000 tüketicinin kişisel bilgilerini kontrol eden veya işleyen veya brüt gelirlerinin% 50’sini veya daha fazlasını kişisel verilerin satışından elde eden en az 25.000 Virginia sakininin verilerini kontrol eden veya işleyen işletmeler CDPA’ya uymalıdır.

12. Amerika Birleşik Devletleri’nde GDPR’nin etkisi nasıl hissedilir??

GDPR’nin Amerika Birleşik Devletleri’ndeki etkisi, devlet düzeyinde veri koruma tüzüklerinin yürürlüğe girmesi ve büyük teknoloji şirketlerinin gizlilik uygulamaları üzerindeki etkisi ile zaten belirgindir.

13. ABD gizlilik yasalarını şekillendirmedeki büyük teknoloji şirketlerinin rolü nedir??

Büyük teknoloji şirketleri artık herkesin uyduğu temel bir ABD gizlilik yasası çağrısında bulunuyor. Etkileri, gizlilik mevzuatı konusunda bir seçim yapmak için Kongre’ye baskı yapmaktır.

14. GDPR tarzı veri korumasını uygulama söz konusu olduğunda ABD Avrupa’dan nasıl farklıdır??

ABD, GDPR tarzı veri korumasını etkili bir şekilde uygulamak ve uygulamak için Avrupa’dan çok farklı. GDPR’nin herhangi bir ABD versiyonu muhtemelen sulanacak ve daha çok ABD’nin bildirim ve seçim modeline benzeyecek.

15. ABD’deki kapsamlı gizlilik yasaları küresel olarak veri gizliliğini nasıl etkileyecek??

ABD’de uygulanan kapsamlı gizlilik yasalarının dünya çapında veri gizliliği için sonuçları olacaktır. ABD küresel pazarda önemli bir oyuncu ve gizlilik yasaları dünya çapında uygulamaları ve düzenlemeleri etkileyecek.

ABD’de GDPR? Yeni devlet mevzuatı bunu gerçeğe yaklaştırıyor

Avrupa Birliği’nin genel veri koruma düzenlemesi (GDPR olarak da bilinir), 2018’de yürürlüğe giren bir veri koruma yasasıdır. Tüm AB bireylerinin kişisel verilerini korumak için tek bir kural ve yetkililer oluşturur. GDPR, AB vatandaşlarının ve Avrupa Ekonomik Alanı (EEA) içindeki herkesin verilerini tutan herhangi bir kuruluş için geçerlidir, sadece AB’de bulunanlar değil.

Avrupa’nın GDPR büyüsü neden ABD’de asla çalışmayacak

İnternet, çeyrek yüzyıldır bizimle birlikte, ancak ABD hala şirketlerinin anlamlı veri maddesi korumalarına uymasını gerektiren bir yasayı geçmedi. Bu önemli çünkü batı dünyasının çoğu’s büyük teknoloji şirketleri Amerikalı. 2020’de Amerika’S gizlilik faturası nihayet çözülecek.

Mayıs 2018’de AB’S Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdi ve Amerikan Gizlilik Yasası ve Uygulamasını zaten dönüştürüyor. GDPR kapsamlı bir düzenleme setidir ve kapsamlı gereksinimleri küresel bir pazar normu haline geliyor. Uygulamada, kişisel verilerde uluslararası iş yapmak istiyorsanız, ABD’de bile en azından GDPR ruhunu takip etmelisiniz.

Eyalet yasama organları inisiyatif aldı ve Kongre’yi çağırdı’Kongre istemese bile gizliliğe el koy’T Yıllar içinde gizlilik yaklaşımını güncelledi. GDPR’den etkilenen devletler. Ve şimdi, yıllarca süren düzenlemeye muhalefetten sonra, büyük teknoloji şirketleri herkesin uyduğu temel bir ABD gizlilik yasası çağrısına başladı. Kongre şimdi kendisini eyaletlerden aşağıdan yukarıya momentum arasında sandviç buluyor ve AB’den yana etkisi. 2020’de bir seçim yapmaya zorlanacak.

GDPR ve ABD eyaletleri’ Teklifler önemli şekillerde farklılık gösterir, her biri az çok şirketlerden şeffaflık ve hesap verebilirlik gerektirir ve veri konuları için kontrol gerektirir. Ancak GDPR’nin Kongreyi geçmesi muhtemel herhangi bir versiyonunun da önemli ölçüde sulanması ve daha çok mevcut ABD bildirim modeline (Gizlilik Politikasını Okuma) ve seçimine (Facebook ve Google’ın seçilmesi) benzemesi muhtemeldir.

Avrupa tarzı veri koruma kurallarının yadsınamaz erdemleri var, ancak kazandılar’Yeter. GDPR, veri işlemenin her zaman değerli bir hedef olduğunu varsayar, ancak adil işlenmiş veriler bile baskı ve istismara yol açabilir. Veri koruma kuralları da kısa görüşlü olabilir, çünkü endüstrinin nasıl göz ardı edilir’Verilere olan iştah, çevremizi, demokrasimizi, dikkatimizi ve duygusal sağlığımızı bozuyor. GDPR tarzı veri koruması yeterli olsa bile, ABD bu terimleri etkili bir şekilde uygulamak ve uygulamak için Avrupa’dan çok farklıdır. GDPR’nin herhangi bir ABD versiyonu, pratikte bir GDPR-Lite bir şey olurdu.

Bununla birlikte, veri koruma düzenlemesi tek seçenek değildir. Kongre bunun yerine büyük teknoloji şirketlerine daha fazla bakabilir’ Örneğin tekel güçleri. Bu şirketler ve müşterileri arasındaki büyük güç farklılıklarına bakabilir. Ve bilgi çağının zorluklarına proaktif olarak yanıt veren daha geniş bir insan refahı vizyonunu ifade etmek için bir gizlilik yasası kullanabilir – gerçekçi olarak bu son seçeneğin, tüzük kitaplarına ulaşması olası değildir.

Kesin olan şey ABD’nin yapabileceği’Hiç bekle. Bu yıl, ABD’de kapsamlı gizlilik yasaları uygulanacak. Ve aldıkları formun dünya çapında veri gizliliği için sonuçları olacaktır.

Woodrow Hartzog Northeastern Üniversitesi’nde Hukuk ve Bilgisayar Bilimi Profesörü. Neil Richards Hukuk Profesörü ve Washington Üniversitesi ST’deki Cordell Enstitüsü Direktörüdür. Louis, St Louis

ABD’de GDPR? Yeni devlet mevzuatı bunu gerçeğe yaklaştırıyor

Avrupa Birliği’genel veri koruma düzenlemesi (“GDPR”) geniş bir erişime sahip olduğu ve gizlilik ve güvenlik standartlarını ihlal edenlere (oldukça geniş) ağır para cezaları verdiği için dünyadaki en zorlu gizlilik ve güvenlik yasası olarak bilinir. GDPR’nin etkisi, 2018’de yürürlüğe girdiğinden beri Amerika Birleşik Devletleri’nde zaten hissedildi ve şimdi.S. Çok sayıda eyaletteki milletvekilleri benzer mevzuatları yürürlüğe koymak için harekete geçiyor. Kaliforniya Tüketici Koruma Yasası (“CCPA”) GDPR’nin ilk örneğiydi’Kaliforniya’da, birkaç açıdan TheGDPR’yi yansıtan bir tüzük ve düzenlemeler düzenlediği gibi, Amerika Birleşik Devletleri’ndeki etkisi. Şimdi Virginia harekete geçti ve benzer mevzuat çıkaran bir yıl süren devlet dizisi. Özellikle, Washington ve New York, CCPA’nın çerçevesini takiben mevzuat önerdi. Bu makale, CCPA’yı Amerika Birleşik Devletleri’ndeki yeni yürürlüğe giren ve önerilen gizlilik yasalarıyla karşılaştıracaktır.

Yeni yürürlüğe giren ve önerilen gizlilik eylemleri:

Yeni Yürütülen Virginia Yasası

2 Mart 2021’de Virginia, Tüketici Veri Koruma Yasası’nı kabul etti (“CDPA”), Amerika Birleşik Devletleri’nde ikinci kapsamlı tüketici veri gizlilik yasası. CDPA 1 Ocak 2023’te yürürlüğe girecek. CDPA, Virginia’da iş yapan veya Virginia sakinlerine sunulan ürün veya hizmetler üreten kişiler veya kuruluşlar için geçerlidir ve “kontrol veya işlem” kişisel veri. Yasa, (1) en az 100.000 tüketicinin kişisel bilgilerini kontrol eden veya işleyen veya (2) kişisel verilerin satışından brüt gelirlerinin% 50’sini veya daha fazlasını elde eden en az 25.000 Virginia sakininin verilerini kontrol eden veya işleyen işletmeler için geçerlidir.

CDPA, CCPA’nın çerçevesini yakından takip eder; Ancak, birkaç temel fark vardır:

• CDPA özel bir eylem hakkı içermez. Aksine, tüm eylemler Virginia Başsavcısı tarafından getirilmelidir.
• CCPA gibi CDPA, HIPAA, GLBA, FCRA, FERPA ve COPPA gibi listelenen belirli federal yasalar tarafından zaten düzenlenmiş verileri muaf tutuyor. Bununla birlikte, CDPA kapsamında, GLBA muafiyeti, sadece veri konularını değil, finansal kurumları tamamen muaf tuttuğu için daha geniştir. Ayrıca, Adil Kredi Raporlama Yasası için Veri Tabanlı Muafiyetler, Sürücü’S Gizlilik Koruma Yasası ve Federal Eğitim Hakları ve Gizlilik Yasası ve Kâr Amacı Gütmeyen Kuruluşlar.
• CDPA, muaf tutulmadıkça, hassas kişisel verileri işlemek için bir katılım gereksinimi içerir.
• CDPA tanımlar “tüketici” CCPA’dan daha dar. CDPA, ticari veya istihdam bağlamında hareket edenleri hariç tutar.
• CDPA altında, “Kişisel Bilgilerin Satışı” Veri satışı olarak nitelendirmenin parasal olmasını gerektirir. Aksine, CCPA parasal veya “Diğer değerli değerlendirme.”

Önerilen Washington Yasası

Washington Gizlilik Yasası, Senato Bill 6281 (“WPA”), CCPA’yı yansıtan önerilen mevzuat. GDPR ve CCPA gibi, WPA tüketicileri arttırır’ Kişisel verileri ile ilgili haklar ve işletmelerin tüketici verilerinin toplanması ve işlenmesi konusunda şeffaf olmasını sağlar. Ayrıca, WPA tüketicilerin kişisel verilerinin satışından çıkmalarını sağlar. WPA, işletme varsa, ürünleri veya hizmeti Washington tüketicilerini hedefleyen işletmeler için geçerlidir: (1) 100.000’den fazla tüketicinin verilerini kontrol eder veya işler veya (2) kişisel verilerin satışından en az% 50 gelir elde eder Ve 25.000’den fazla tüketicinin kişisel verilerini süreçler veya kontrol eder.

WPA ve CCPA, aşağıdakiler gibi önemli benzerliklere sahiptir: (1) 30 günlük bir tedavi süresi; (2) İşletme bir tüketiciyi silmelidir’taleplerinde kişisel veriler; ve (3) Tüketiciye, işletmenin hangi kişisel bilgileri topladığını ve bu tür verilerin nasıl kullanıldığını anlatmak için proaktif olmak için işletme sorumluluğu. Ancak, aralarında önemli farklılıklar vardır:

• WPA sınırlar “kişisel veri” bir bilgiye ilişkin tanım “tanımlanmış veya tanımlanabilir doğal kişi,” CCPA tanımı geniş kalır ve bir “belirli tüketici veya hane halkı.”
• WPA, kontrolörler veya işlemciler tarafından kişisel veri işleme konusunda yerel yasaları, yönetmelikleri ve düzenlemeleri açıkça önler. CCPA.
• WPA, CCPA’nın aksine, bir gelir eşiği gereksinimi içermiyor.
• WPA, CCPA’nın aksine, “ayrımcılık” işletmelerin nihai otomatik kararlar almasını engelleyen hüküm.
• WPA, CCPA’nın benzer bir hükmü olmadığı durumlarda yüz tanıma teknolojisinin nasıl kullanılabileceğini sınırlar. (Yüz tanınma kullanan şirketler üzerindeki yeni yüz tanıma yükümlülükleri, yürürlüğe girerse, şirketlerin Washington altındaki karşılaştığı mevcut yükümlülükleri aşar’S biyometrik gizlilik yasası (RCW 19.375).)

Önerilen New York Yasası

Önerilen tüm gizlilik mevzuatından, New York Gizlilik Yasası (S5642) (“NYPA”) muhtemelen en çok beklenendir çünkü dili CCPA’dan çok daha cesurdur. NYPA, “New York’ta iş yapan veya New York sakinlerine kasıtlı olarak hedeflenen ürün veya hizmetler üreten tüzel kişiler.” Böyle geniş bir dille, NYPA, CCPA’da görüldüğü gibi gelir eşiği dilini atlarken mümkün olduğunca çok işletmeye ulaşacak şekilde uyarlanmış görünüyor.

NYPA yürürlüğe girmeden önce değişebilse de, mevcut dili CCPA’dan iki şekilde ayrılıyor:

• En büyük değişiklik, işletmelerin “Veri Maddeleri.” Önerilen yasa, “Tüketicilerin kişisel bilgilerini toplayan, satan veya lisans alan herhangi bir varlık, bir tüketicinin kişisel verilerini gizlilik riskine karşı güvence altına almak için bir güvene sahip bakım, sadakat ve gizlilik görevini yerine getirecektir.” Bu yükümlülük “Sahiplere veya hissedarlara borçlu olan herhangi bir görevin yerini al” bir varlık.
• NYPA ima edilen rızayı tanımıyor. Zımni rızayı tanıyan CCPA’nın aksine, NYPA, işletmelerin gerektiğinde tüketicilerden net ve proaktif bir anlaşma elde ettiklerini göstermelerini isteyecektir.

Ana paket

GDPR’Amerika Birleşik Devletleri’ndeki etkisi burada ve burada daha fazla eyalet davayı takip ettikçe kalıyor gibi görünüyor. Her sahilde iki ana gizlilik yasası ve aralarında dağılmış varyasyonlar ile Kongre’nin nihayetinde bazı tekdüze yaratmak için federal bir yasayı geçip geçmeyeceği belirsizdir. O zamana kadar, yeni mevzuat sunuldukça şirketler ve işletmeler kendilerini potansiyel düzenleyici eylem ve davalardan korumak için güncel kalmalıdır.

U’da GDPR.S.: Ne dilediğine dikkat et

En son Facebook skandalı Amerika’nın gizlilik yasalarımızı ele alma şeklimizi kalıcı olarak değiştirmesine neden olabilir mi??

Seth P. Berman

Facebook/Cambridge Analytica skandalındaki mevcut dikkat, çok sayıda yorumcunun ABD’nin Avrupa Birliği’nden sonra modellenen bir yasayı benimsemesini önermesine neden oldu’25 Mayıs 2018’de yürürlüğe giren genel veri koruma düzenlemesi (GDPR). Gerçekten de, Facebook’un kendisi bile Amerikalı kullanıcılarına Avrupalı ​​kullanıcıları için sağlanan aynı korumaları sağlamayı teklif etti. İlginç bir şekilde, giderek daha fazla Amerikalı GDPR’yi bir model olarak atıfta bulunsa bile, çok azı GDPR’nin gerçekte ne talep ettiğini anlıyor gibi görünüyor. Örneğin, son birkaç hafta içinde GDPR’nin sözde bir uzman tarafından özetlendiğini duydum “tüketicinin verilerini paylaşmaya katılmasını gerektiren bir yasa;” bir yasa “unutulma hakkını belirler;” Ve “Avrupa’s Veri ihlali bildirim yasası.” Bu iddiaların her birinde gerçek olmasına rağmen, bu tür özetler, GDPR’nin insanları daha az değil, daha az değil, GDPR’nin ne içerdiği ve belki de tesadüfen değil, şirketlerin gerçekten çok fazla taahhüt etmeden GDPR benzeri korumalar sağladıklarını iddia etmesine izin verdiği hakkında çok şey atlıyor.

GDPR uyumluluğunun gerçekte neyi gerektirdiğini daha ayrıntılı olarak açıklamadan önce, U’da geliştirilen veri gizliliğine farklı yaklaşımları anlatmaya değer.S. ve AB. En büyük fark, bugüne kadar, sağlık ve bankacılık gibi bazı yoğun düzenlenmiş endüstrilerin dışında, U.S. Genel olarak uygulanabilir gizlilik düzenlemeleri yoktur. Bunun yerine, bir bireyle neler yapılabileceğine dair kararlar’Veriler, şirketin verileri nasıl kullanmayı planladığı konusunda dürüst olmaması koşuluyla, bu verileri elinde tutan şirkete bırakılmıştır (çeşitli tüketici koruma tüzüklerinin ihlali olacaktır). Bu yasal çerçeve, neredeyse tüm tüketicilerin bir web sitesine imza atmadan önce okumadan tıkladığı şirketler tarafından yazılan çok geniş hizmet şartlarıyla sonuçlandı. Bu şekilde, U’daki tüketiciler.S. Şirketlere, şirketlere ücretsiz veya azaltılmış maliyet erişimi karşılığında çok az sınırlama sağlayan şirketlere verileri sunmayı seçtiler. Şirketlerin sağladığı hizmetlere. Bu geniş hizmet şartları, tüketicileri kötüye kullandığı iddia edilen herhangi bir şirket için ilk savunma hattıdır’ Güven – Esasen “Bize izin verdin” (yapmadıysanız bile’bunu yaptığını fark et).

U en yakın yaklaşımı.S. Şu anda geniş tabanlı bir veri gizlilik düzenlemesi, devlet veri ihlali bildirim tüzüğüdür. Eyaletten eyalete değişen bu tüzükler, genel olarak bir kuruluşun, sosyal güvenlik numarası, kredi kartı numarası veya doğum tarihi gibi kişisel olarak tanımlanabilir bilgilerin (PII) kaybına yol açan bir veri ihlali varsa, etkilenen bireyleri bilgilendirmesini gerektirir. Bunlar gerçekten gizlilik tüzükleri değil. Bunun yerine, tamamen geriye dönüktürler (sadece bir güvenlik ihlali gerçekleştikten sonra rol oynarlar) ve yetkisiz üçüncü taraflardan güvende tutmaları koşuluyla, bir kuruluşun kişisel verilerle ne yapabileceğine dair hiçbir sınır yerleştirmezler.

GDPR neden senin için önemlidir?.S. Kuruluşlar

GDPR, AB’de kabul edilen ve Avrupa’da faaliyet gösteren tüm şirketler için önemli etkileri olan bir yasadır. Ancak, bu yasa “Altın standardı” AB’nin çok ötesindeki yerlerde, birçok yönden olduğu gibi, veri güvenliği ve veri gizliliği için yeni standart her türlü işletmeler için.

Bu makalede, GDPR’nin ABD şirketleri üzerindeki etkisini ve bu mevzuatın ABD kuruluşları için neden önemli olması gerektiğini tartışmak istiyoruz. ABD şirketlerinin neden umursaması gerektiğinin bir anahtarı, büyük bir ABD veri gizliliği yasası geçmesi durumunda en iyi uygulama ve hazırlanmasına yardımcı olacak.

GDPR nedir?

Avrupa Birliği’nin genel veri koruma düzenlemesi (GDPR olarak da bilinir), 2018’de yürürlüğe giren bir veri koruma yasasıdır. Tüm AB bireylerinin kişisel verilerini korumak için tek bir kural ve yetkililer oluşturur. GDPR, AB vatandaşlarının ve Avrupa Ekonomik Alanı (EEA) içindeki herkesin verilerini tutan herhangi bir kuruluş için geçerlidir, sadece AB’de bulunanlar değil.

Genel Veri Koruma Yönetmeliği (GDPR), verileri işleyen, işleyen ve koruyan bir dizi nesne oluşturur. Bu tanımlar, GDPR ve ilgili kurallara başlamanıza yardımcı olacaktır. GDPR, veri partilerini üç kategoriye ayırır: veri konuları, denetleyiciler ve işlemciler.

Bir “veri konusu”, bilgileri toplanan biridir. “Veri Denetleyicisi”, bir veri konusunun kişisel verilerini işleme koşullarına, amaçlarına ve yöntemlerine karar veren bir varlıktır. Öte yandan, bir “veri işlemcisi”, kontrolör adına kişisel verileri işleyen bir şirkettir.

Denetleyiciler ve işlemciler, GDPR kapsamında Amerika Birleşik Devletleri de dahil olmak üzere dünyanın herhangi bir yerinde bulunabilir. Bu, önceki AB düzenlemelerinden önemli bir ayrılış.

Kişisel verileri oluşturan şey, kavramak için başka bir önemli GDPR kavramıdır. Yalnızca bir bireyi tanımlamak için kullanılabilecek veriler GDPR altında korunur. Örneğin, tek başına yaş bir kişiyi tanımlamak için kullanılamaz ve GDPR kapsamında değildir, ancak yaş artı isim verileri bir kişiyi tanımlamak için kullanılabilir.

GDPR’nin temel özelliklerini anlamak

GDPR öncelikle AB’nin birleşik bir dijital pazar yaratma arzusu ile motive edilmektedir. Mevcut GDPR gereksinimleri, aşağıda listelenen kavramlar tarafından yönlendirilmektedir ve bunların üçü de ABD kuruluşları için geçerlidir.

Orantılılık

GDPR’ye göre, işlenen kişisel veri miktarı, toplandığı nedeniyle orantılı olmalıdır. Bu, mümkün olduğunca az veri toplamanın ve tüketiciye hizmet vermesi gerekenden daha uzun süre saklamayı gerektirir.

Şeffaflık

Tüm veri denekleri, kişisel verilerinin işlenmesi ve kullanıldığı amaçlar hakkında bilgilendirilme hakkına sahiptir. Ayrıca açıkça rıza göstermelidirler. (Daha fazla bilgi için 7, 10, 11 ve 12. Maddelere bakın.) Çoğu firma için GDPR önemli bir değişikliği temsil eder. Veri işleme söz konusu olduğunda, bir devre dışı bırakma işlemine geçiş tutumuna geçmelisiniz.

Meşru amaç

Veri toplamanın yasal olması için kuruluşların bunu yapmak için meşru bir nedeni olmalıdır. İş görevlerini yerine getirmek için gereken kişisel verilerin miktarı minimumda tutulmalıdır. Örneğin, bir oyun uygulaması sağlık bilgisi gerektirmez, bu nedenle ekonomik değeri olmayan verileri toplamak gerekli olmamalıdır.

GDPR ABD şirketleri hakkında ne diyor??

GDPR doğrudan tüm ABD şirketleri için geçerli değildir, ancak dolaylı olarak onları etkiler.

GDPR, Amerika Birleşik Devletleri ve dünyadaki diğer tüm ülkeler için de geçerlidir. Yasanın coğrafi erişimini belirten GDPR’nin 3. maddesi, sadece AB’deki firmalar için değil, aynı zamanda AB dışındaki AB vatandaşlarının verilerini sağlayan veya izleyen kuruluşlar için de geçerli olduğunu öngördüğü için, durum böyle.

Aşağıdaki iki gereksinimden en az biri karşılanırsa, GDPR gelir veya çalışan büyüklüğünden bağımsız olarak tüm ABD işletmeleri için geçerlidir:

• İş etkileşimi olmasa bile, şirket AB sakinlerine mal veya hizmet sağlar.
• Şirket, kullanıcıların Avrupa Birliği’nde nasıl davrandığını takip ediyor.

İsimler, iletişim bilgileri, IP adresleri, biyometrik bilgiler, resimler ve videolar gibi cihaz özellikleri GDPR’nin kapsadığı kişisel veri ve davranışlar arasındadır.

GDPR uyumluluğu kriterleri, şirketin özelliklerine göre farklılık gösterir. Örneğin, 250’den az işçiye sahip işletmelerin veri işleme işlemlerini takip etmeleri gerekmez. Ancak, sanatta belirtildiği gibi. GDPR’nin 30 (5), bu kriter yalnızca işlem, veri konularının hakları ve özgürlükleri için bir tehlikeyi temsil etmiyorsa, özel veri kategorisi işlenmiyorsa veya işlem çok nadiren yapılırsa.

GDPR neden önemlidir??

GDPR altındaki değişiklikler, işletmelerin kişisel veri koruma ve gizliliğine bir kene kutusu uyum yaklaşımından uzaklaşmaya ve verilerin ömrünü yönetme için şirket çapında bir stratejiye doğru kaydırılması amaçlanmaktadır.

Başlangıç ​​olarak, GDPR daha geniş bir coğrafi alanı kapsar. Hak kazanmak için Avrupa’ya dayanmak gerekli değildir. GDPR, AB vatandaşlarıyla iş yapan herhangi bir şirkete başvuracaktır. AB’deki kişiler için erişilebilen bir uygulama gibi karsız bir hizmet sunsanız bile, IP adresleri veya çalıştırma çerezleri gibi dijital bilgileri toplarsanız, GDPR’ye karşı sorumlu olabilirsiniz.

DPA meselesi de göz önünde bulundurulmalı. Veri Koruma Yetkilileri (DPA’lar) kişisel veri ihlalleri için daha sert para cezaları uygulayabilir. GDPR’nin cezalara üç katmanlı bir yaklaşımı var. Verileri işlemek için yeterli tüketici rızası almamak gibi en berbat ihlaller için maksimum ceza yıllık küresel gelirin% 4’ü veya 20 milyon €. Bir ihlal hakkında bilgi vermemesi gibi dünya çapında yıllık gelirin% 2’ye kadar para cezası daha az önemli ihlaller için geçerlidir. İngiltere’de Veri Koruma Yasasını ihlal etmek için en yüksek ceza 500.000 £ ve bugüne kadarki en büyük para cezası 400.000 £ idi, bu da bir siber saldırganın tüketici verilerine erişmesine izin veren güvenlik kusurları için 2016 yılında TalkTalk’a verildi “.”

GDPR uyumluluğu özellikle kritiktir, çünkü kişisel verileri güvence altına almak için teknolojik ve organizasyonel önlemler gerekli hale gelir ve GDPR beklenenlerin örneklerini ortaya koyar. Bu endişeler, kişisel veri karma ve şifreleme, gizlilik, bütünlük ve kullanılabilirliği koruma kapasitesi ve güvenlik önlemlerinin başarısını değerlendirme mekanizmalarını içerir.

Ayrıca, kişisel verilerin kapsamı, IP adresleri ve mobil cihaz kimlikleri gibi çevrimiçi tanımlayıcıları içerecek şekilde genişletilmiştir. Bireylerin kişisel verilerin işlenmesine ilişkin açık sözleşmesi gerekecek ve firmaların artık kapsamlı, okunamayan hüküm ve koşullardan yararlanmasına izin verilmeyecek. Bireyler, veri işleme açısından veri silme ve veri taşınabilirliği gibi yeni haklara sahip olacaklar, bu da verileri farklı bir denetleyiciye aktarma kapasitesidir.

GDPR uluslararası veri gizliliğini nasıl etkiledi??

GDPR, Brezilya’nın Kişisel Verilerin Korunması Genel Yasası, Çin’in Planlanan Kişisel Veri Koruma Yasası ve Hindistan’ın önerdiği kişisel veri koruma faturası da dahil olmak üzere dünyanın her yerindeki mevzuatı etkiledi. Amerika Birleşik Devletleri’nde, California ve Virginia GDPR’ye dayalı yasalar çıkarırken, Washington gibi diğer eyaletler hala fikirler üzerinde çalışıyor.

Hindistan’da GDPR, Hindistan’da planlanan PDPB için bir model olarak hizmet etti, bu da Parlamento’nun önünde kısa bir süre sonra gönderilmesi muhtemel. Hindistan, yasanın kapsamını, Hindistan’da herhangi bir veri toplanmasa bile, orada işlenmiş olsa bile uyumluluk gerektirecek bir hassas kişisel veri kategorisi içerecek şekilde genişletmeyi düşünüyor.

GDPR’nin açıklık, veri koruma ve güvenliğin temel ilkelerinin evrensel olarak uygulanabilir olduğu gösterilmiştir. 2018’den bu yana, kişisel verileri şeffaf ve güvenli bir şekilde ele almanın bir zorunluluk olduğunu kabul ederek önemli bir değişiklik oldu.

Dünya çapında, GDPR aynı şekilde gizlilik profilini yükseltiyor. GDPR, gizlilik profesyonelleri için çok faydalı bir fırsat, gizlilik olanaklarını, kariyer yollarını ve işleri artırırken, aynı zamanda daha güçlü ve daha çeşitli gizlilik yetenekleri havuzu geliştiriyor. Daha geniş bir şekilde, GDPR tüm işletmelerde gizliliği CEO gündemlerinin en üstüne taşımak için bir katalizör görevi gördü.

GDPR, veri gizliliğini işletmeler içindeki bir C-suite önceliğine yükseltti, birçok gizlilik programının olgunlaşmasını hızlandırdı ve tasarım ve sorumluluk ile bir gizlilik kültürü geliştirmeye yönelik birçok gizlilik programını kene kutusu uyum yaklaşımından değiştirdi. Düzenlemenin icra mekanizmaları göz önüne alındığında, kuruluşların GDPR’ye uyma arzusu şaşırtıcı değildir.

GDPR uyumluluğunun ve veri gizliliğinin geleceği

GDPR, dünya çapında bir veri koruma çerçevesi için standardı belirlerken, yaklaşımını mevcut uluslararası hukuk ilkeleriyle uyumlu hale getirerek geliştirilebilir.

“Schrems” vakaları son yıllarda çok fazla karışıklığa neden oldu ve yeterlilik süreci açıktan daha azdı. Bir ülkenin AB kriterlerini yerine getirip getirmediğini değerlendirme prosedürü hantaldır ve mevzuat, diğer uluslararası ticarette mevcut sınır ötesi işbirliği kavramlarından yararlanarak güçlendirilebilir.

Kuruluşlar, elektronik iletişim için standartların tanımlanmasında EPrivasyon Direktifi’nin yerini alacak olan AB’nin planlanan EPRIVECE mevzuatını ve GDPR uyumluluk yoluyla çalıştıkça yapay zeka düzenlemesi önerilerini yoğun bir şekilde izliyor. Gizlilik uzmanları, bu planların gözden geçirildiklerinde GDPR’ye uyması gerektiğine inanıyor.

GDPR’nin hesap verebilirlik, açıklık ve adalet gibi ilkeleri, insanları koruyan rasyonel ve pratik çözümler geliştirmek amacıyla gelecekteki mevzuat için bir model olarak hizmet edebilir. AB içindeki veri yönetişimi yasalarının parçalanmasını önlemek için, bir sonraki mevzuat GDPR kurallarına önemli bir uygunluk aramalıdır.