Cum va afecta GDPR mărcile din SUA

Utilizarea (și utilizarea greșită) a datelor reprezintă o provocare unică pentru legiuitori și autoritățile de aplicare a legii. Spre deosebire de bunurile și serviciile tradiționale, fluxurile de date nu respectă granițele internaționale tradiționale, iar rata schimbărilor tehnologice înseamnă că legea privind confidențialitatea datelor este întotdeauna fie excesiv de largă, fie total depășită.

În special, autoritățile de reglementare s-au străduit să dezvolte practici eficiente de aplicare a legii pentru companiile care au un impact major pe teritoriul lor, dar au sediul fizic în altă parte.

Aceasta este tema de bază a actualului caz de la Curtea Supremă a Statelor Unite, Statele Unite ale Americii v. Microsoft Corp , care a condus recent la trecerea în grabă a Legii privind clarificarea utilizării legale a datelor în străinătate (CLOUD), care va permite efectiv autorităților americane să oblige companiile să furnizeze informații solicitate. datele stocate pe servere, indiferent dacă sunt situate în SUA sau în țări străine.

În mod similar, mulți sunt încă bulversați de scandalul Cambridge Analytica/Facebook, care a demonstrat cum manipularea străină a datelor persoanelor fizice poate interfera cu politica internă.

În acest context, este probabil deloc surprinzător că legislația de referință a UE privind confidențialitatea datelor, Regulamentul general privind protecția datelor (GDPR), urmărește să aplice standarde îmbunătățite de protecție a datelor nu doar acelor companii cu sediul în UE, ci și multor din afara acesteia.

În această postare, examinez ce înseamnă GDPR pentru mărcile din SUA și ce pași, dacă este cazul, ar trebui să ia acum pentru a se pregăti:

Ce este GDPR și cum se poate aplica legea UE companiilor din SUA?

Mai simplu, GDPR este o parte a legislației UE care urmărește să protejeze datele personale ale cetățenilor UE prin reglementarea modului în care organizațiile colectează, stochează și procesează acele date.

Spre deosebire de predecesorul său, Directiva privind protecția datelor, care, în general, nu reglementa companiile cu sediul în afara UE, GDPR se aplică oricărei prelucrări de date cu caracter personal ale persoanelor vizate care se află în UE, unde activitățile de prelucrare sunt legate fie de: oferta de bunuri. sau servicii pentru astfel de persoane vizate în UE (indiferent dacă este necesară o plată a persoanei vizate); sau, monitorizarea comportamentului lor în măsura în care comportamentul lor are loc în UE.

Aceasta înseamnă că GDPR nu este relevant doar pentru companiile multinaționale care pot avea sediul în SUA sau pentru companiile din SUA care au operațiuni comerciale directe în UE, ci și pentru multe companii din SUA care nu au. Într-un context online, GDPR va fi relevant dacă:

• Aveți o prezență puternică pe internet în UE (chiar dacă nu vindeți direct în UE)
• Sunteți o companie de comerț electronic care acceptă monede UE și/sau are un sufix de domeniu UE (cum ar fi .co.uk, .fr, .de etc.)
• Aveți vizitatori din UE și efectuați personalizare pe site-ul dvs. web.

Costul greșirii

Dacă oricare dintre cele de mai sus se aplică organizației dvs., ar trebui să vă revizuiți cu atenție practicile de prelucrare a datelor și să determinați dacă GDPR este probabil să se aplice sau nu activităților dvs. online. Unul dintre motivele pentru care acest lucru este atât de important este din cauza amenzilor semnificative prevăzute de noul regulament.

GDPR introduce sancțiuni grave pentru companiile care nu respectă noile reguli. Amenzile pot ajunge până la 20 de milioane de euro, sau 4% din cifra de afaceri mondială a unei organizații – oricare dintre acestea este mai mare.

Încă nu este clar cum autoritățile de reglementare din UE ar impune aceste sancțiuni companiilor americane care nu au o prezență permanentă în nicio țară din UE, dar amenzile potențiale ar trebui să însemne că chiar și companiile din SUA ar trebui să ia în serios noile reguli.

Conformitatea poate fi simplă, dar nu este doar un exercițiu de bifare

Contrar credinței populare, conformitatea cu GDPR poate fi realizată simplu și fără o cantitate imensă de resurse. Cu toate acestea, nu este un exercițiu de bifare simplu și unii dintre pași pot necesita contribuția mai multor părți interesate din organizația dvs.

Pentru un ghid mai detaliat al noilor cerințe, autoritatea de reglementare din Marea Britanie a publicat un rezumat al GDPR, care este un punct de plecare excelent dacă ajungeți la acest lucru nou. Cu toate acestea, pentru companiile care nu sunt obișnuite cu legislația UE privind protecția datelor, respectarea GDPR poate necesita, de asemenea, o schimbare fundamentală a modului în care sunt conceptualizate datele:

1.) Date personale vs PII

Definiția „datelor personale” conform GDPR este mult mai largă decât conceptul similar din SUA de „informații de identificare personală” (PII).

PII, așa cum este înțeles în SUA, se limitează de obicei la identificatori precum numele, numărul de securitate socială, data și locul nașterii și înregistrările biometrice, medicale, educaționale, financiare și de angajare. În schimb, datele cu caracter personal în UE înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă sau „persoana vizată”. Aceasta include identificatorii incluși în definiția S.U.A a PII și, în plus, include identificatori online, cum ar fi adresa de e-mail, ID-ul cookie-ului, adresa IP, obiceiurile de navigare, datele despre locație și așa mai departe.

În practică, această definiție largă a datelor cu caracter personal înseamnă că activități precum personalizarea site-ului web sunt incluse în GDPR, chiar dacă o astfel de personalizare implică doar utilizarea de bază a analizelor bazate pe ID-ul cookie-ului sau adresa IP a utilizatorului.

2.) Principiile privind protecția datelor și consimțământul

GDPR recunoaște că întreprinderile au un interes legitim în colectarea și utilizarea datelor cu caracter personal (de exemplu, în scopul înțelegerii modului în care vizitatorii interacționează cu site-ul web al unei companii). Cu toate acestea, în acest sens, companiile sunt obligate să respecte anumite „principii de protecție a datelor”, cum ar fi asigurarea transparenței cu persoana vizată.

În plus, pot exista momente în care este necesar consimțământul unui vizitator înainte ca datele acestuia să poată fi colectate, ceea ce în conformitate cu GDPR necesită mai mult decât o simplă referire la o declarație de confidențialitate online. GDPR elimină consimțământul implicit și căsuțele pre-bifate și impune companiilor sarcina de a arăta că persoana vizată a înțeles pe deplin și a fost de acord cu ceea ce li se cere să își dea consimțământul.

3.) Proprietatea

Spre deosebire de SUA, unde toate datele colectate de pe un site web sunt de obicei considerate ca aparținând proprietarului site-ului respectiv, în UE, datele cu caracter personal aparțin persoanei vizate. În consecință, persoana respectivă are dreptul de a controla modul în care sunt prelucrate datele sale, ceea ce se reflectă în drepturile extinse pentru persoanele vizate în temeiul GDPR de a accesa, de a lua copii și de a solicita companiilor să își ștergă datele. Companiile sunt obligate să respecte astfel de solicitări în conformitate cu termene stricte sau se confruntă cu acțiuni potențial severe de aplicare din partea autorităților locale de reglementare.

În mod similar, sunt introduse și cerințe mult mai stricte în cazul în care sunt implicate terți. În special, persoanele vizate ar trebui să fie informate cu ce companii le sunt partajate datele, iar organizațiile pot angaja doar părți terțe care pot garanta un nivel adecvat de securitate a datelor. Acest lucru trebuie dovedit prin documente contractuale specifice care îndeplinesc cerințele de conținut ale GDPR. Înțelegerea acestor diferențe conceptuale va fi esențială pentru companiile care doresc să respecte GDPR.

Încheierea

GDPR va schimba modul în care companiile interacționează cu datele – nu doar în UE, ci și în întreaga lume. Mărcile din SUA, în special cele cu o prezență puternică pe internet, ar trebui să își revizuiască cu atenție practicile de prelucrare a datelor și să stabilească dacă GDPR este probabil să se aplice sau nu activităților lor online. Orice nelămurire ar trebui discutată cu un consilier cu mult înainte de data intrării în vigoare a GDPR, pentru a evita amenzile considerabile în temeiul noului regulament.