Što je zaštita privatnosti i kako utječe na potrošače i tvrtke?

Pitanja o privatnosti nalaze se na vrhu popisa za internetske korisnike širom svijeta. Rast internetske trgovine i razmjene podataka koji prelaze međunarodne granice, posebno između Sjedinjenih Država i Europe, također je pokrenuo brojna pitanja vezana uz privatnost na državnoj razini. Nije sve to zbog kriminalnog hakiranja. Dosta se odnosi na to kako velike i male tvrtke koriste podatke o klijentima.

U nastojanju da bolje posluže europskim korisnicima čiji podaci prelaze američku granicu, Ministarstvo trgovine Sjedinjenih Država i Europska komisija zajedno su radili na izradi onoga što je poznato kao Štit privatnosti, regulatorne primjene namijenjene jamčenju europskih državljana na odgovarajući način zaštićeni podacima EU zakoni o zaštiti jer njihovi podaci prelaze u Sjedinjene Države i iz njih.

Uvod u štit privatnosti

Logotip štitnika privatnosti

Dana 12. srpnja 2016. američka vlada i Europska komisija zajednički su odobrile Okvir za zaštitu privatnosti. Stvarna dokumentacija okvira Privacy Shield pruža puno vrijednih podataka o potrošačima. Međutim, može biti teško analizirati dokumente i sagledati što sve to znači. Evo jednostavnog načina za razumijevanje koncepta.

Sjedinjene Države i države članice Europske unije obavljaju veliku trgovinu. U stvari, prekoatlantska trgovina godišnje proizvede gotovo 5 bilijuna dolara. Veći dio ove trgovine zahtijeva od kompanija da prikupljaju podatke preko međunarodnih granica. U nekim slučajevima tvrtke koje dovode mnoštvo kupaca i korisnika iz Europske unije, poput Googlea ili Facebooka, prikupljaju i obrađuju ogromne količine korisničkih podataka.

Google i Facebook ponekad te podatke mogu obraditi, zadržati na njima neodređenom količinom vremena, koristiti ih za mjerenje i analitiku ili ih čak proslijediti trećim stranama u druge svrhe. Slično tome, američka vlada može nadgledati neke od tih podataka ili ih čak prikupiti od tih tvrtki.

Europska unija ima vrlo specifičan zakon, Direktivu o zaštiti podataka, koja ozbiljno ograničava način na koji tvrtke poput Googlea ili Facebooka ili organizacije poput NSA-e mogu koristiti ili čak prikupljati podatke. Ovo uključuje kako vlade mogu prikupljati podatke od poduzeća za potrebe nadzora. (DPD bi trebao isteći 2018. godine, a zamijenit će ga novi propisi o kojima raspravljamo na kraju.)

Okvir privatnosti štiti kao skup pravila koja upravljaju američkim poduzećima s europskim operacijama. Omogućuje tvrtkama da rade dvije stvari:

  • Samo potvrdite da prihvaćaju Okvir privatnosti
  • Promovirajte sebe i svoje pridržavanje načela zaštite privatnosti

Što se tiče zaštite privatnosti, ovdje su važne sljedeće:

  • Pridržavanje okvira je dobrovoljno. Međutim, trenutno postoje stotine američkih tvrtki koje su se dobrovoljno samopotvrdile. Ovo stvara jednostavan put tim tvrtkama za prikupljanje privatnih podataka građana EU u poslovne svrhe, povećavajući protok internetske trgovine.
  • Sve tvrtke koje pristanu sudjelovati u programu moraju javno objaviti svoje sudjelovanje. Nakon što je to dovršeno, tvrtke se čvrsto drže tog standarda, a neuspjeh u slijeđenju okvira rezultirao je potencijalnim kaznama u iznosu od 21,842,000 USD ili 4 posto ukupnog bruto prihoda tvrtke u godini, ovisno o tome koji je broj veći. Provedba dolazi izravno iz pravila Federalne komisije za trgovinu koja zabranjuju "nepoštena i obmana".
  • Izvještavanje o kršenju podataka mora biti izvršeno u roku od 72 sata. Budući da štit privatnosti uključuje sigurnost informacija u svoj princip načela, to tvrtke moraju shvatiti ozbiljno.

Pozitivno je to što su mnoge tvrtke već imale primjerene protokole kako bi se lako mogli prijaviti.

Što je štit privatnosti? Detaljan pregled

Google štit privatnosti

Prvo, najbolje je razumjeti što štit privatnosti nije, kako bi se lakše uokvirilo raspravljanje o tome što zapravo jest.

Privacy Shield nije program zaštite podataka ili softver neke vrste

Ovo je važno za razumijevanje, jer se može činiti da naziv prenosi drugu poruku. Štit privatnosti nije nešto što korisnici mogu instalirati na svoje računalo radi zaštite njihove privatnosti, niti je to neka vrsta internetskog filtra koji nadgleda i filtrira ili šifrira korisničke podatke.

Štitnik privatnosti nije obvezan za sve američke tvrtke

Možda je jedna od većih nedostataka okvira Privacy Shield činjenica da je riječ o potpuno dobrovoljnom programu. Zapravo, to čak i nije obvezno za američke tvrtke koje posluju u Europi. Tvrtke koje žele sudjelovati moraju dovršiti postupak samo certificiranja kojim se potvrđuje da se model privatnosti podataka njihove tvrtke usklađuje s temeljnim načelima okvira.

Štit privatnosti nije dvosmjerna ulica

Za sve namjere i svrhe, Privacy Shield postoji kao svojevrsni ukor SAD-u i nedostatak organiziranog reguliranja u ime osobnih podataka potrošača. Štit privatnosti posebno je dizajniran za američke tvrtke kao dio dobronamjernih napora američkih tvrtki za sigurno rukovanje podacima dobivenim od korisnika interneta u EU-u na način koji više odgovara zakonima Europske unije o zaštiti podataka..

Jesu li razlike između standarda zaštite SAD-a i EU toliko značajne?

Evo kratke verzije: Europska unija ima stroge standarde koji štite kako nečije osobne podatke prikupljaju i koriste tvrtke i vlade. Svodi se na ideju da pojedinci imaju pravo na privatnost prvo iznad vladinog ili poslovnog prava ili želje da prikupljaju osobne podatke u različite svrhe, čak i za svrhe koje se smatraju dostojnim. Nadalje, propisuje da svatko tko smatra da su njihovi podaci zloupotrijebljeni ima pravo podnijeti naknadu štete od tvrtke ili vlade koja ih zloupotrijebi..

Ako imate nekoliko slobodnih sati (a možda i vještina raščlanjivanja legalnog jezika), možete pregledati određeni jezik koji se nalazi na Inicijativa za zaštitu podataka.

U međuvremenu, SAD nema formalno zakonodavstvo na saveznoj razini koja štiti pojedinačna prava na podatke o potrošačima. Zbog toga je jezivo otkrivanje špijunskog programa Edwarda Snowdena izazvalo toliko valova. Mnogi Amerikanci i drugi širom svijeta možda su sumnjali da američka savezna vlada špijunira pojedine, nevine građane, ali do tog trenutka malo je načina na koji bi se provjeravali dokazi. U 2013. godini Snowden je osigurao tu potvrdu. Špijunski program u SAD-u bio je toliko opsežan i tako širok da se Snowden osjećao prisiljen procuriti informacije samo nekoliko mjeseci nakon što ga je angažirala NSA.

Američki zakon o patriotima pokrenuo je programe poput PRISM-a i Zakona o nadzoru stranih obavještajnih podataka (FISA) koji prikupljaju podatke od američkih građana i inozemstva. Mnogo upada u Zakon o Patriotu ozbiljno je ograničilo Zakon o slobodi iz 2015. godine, zakon koji je proširio Patriotski zakon sa značajnim ograničenjima na način na koji vlada može prikupljati podatke. Ovi zakoni reguliraju mnoge zaštite koje Amerikanci još nisu imali dok su nametali ograničenja sloboda na načine koji nisu popularni u Europi. (Istražili smo opseg Zakona o Patriotima, Zakona o slobodi i FISA-e o kojem možete pročitati ovdje.)

U skladu s tim, SAD nije divlji zapad ukradenih osobnih podataka korisnika, bilo od vlade, ili na neki drugi način. Postoje zakoni o knjigama preko vladinih odjela kako na državnoj tako i na saveznoj razini. Najveća zabrinutost za EU povezana je s nedostatkom sveobuhvatne i jasne poruke u SAD-u o tome kako se podaci o korisnicima mogu prikupljati i obrađivati, kao ni jasne naznake o tome koja prava pojedinci imaju na naknadu štete. Zakoni koji djelomično reguliraju zaštitu osobnih podataka u SAD-u uključuju:

  • Zakon o saveznoj komisiji za trgovinu
  • Zakon o modernizaciji financijskih usluga
  • Zakon o prenosivosti i odgovornosti za zdravstveno osiguranje (HIPAA)
  • Pravilo obavijesti o kršenju sigurnosti
  • Zakon o kreditnom izvještavanju
  • Kontrola napada nekorišćene pornografije i zakona o marketingu (CAN-SPAM)
  • Zakon o zaštiti potrošača putem telefona
  • Zakon o privatnosti elektroničkih komunikacija
  • Zakon o računalnim prijevarama i zlostavljanju
  • Zakon o sudskoj naknadi (Zakon SAD-a koji samo građanima država članica EU pruža pravo da traže odštetu od državne ili državne vlasti koja dijele svoje osobne podatke)

Iako je EU direktiva o zaštiti podataka daleko od čitanja, iznimno raznolika mješavina zakonodavstva u SAD-u koja pokriva ovu temu stvara pomalo birokratsku noćnu moru, dok ograničava sposobnost pojedinca da bolje razumije svoja prava u vezi sa načinom na koji vlade i tvrtke prikupljaju i koristiti osobne podatke. Nadalje, mnogi od ovih zakona, iako se primjenjuju, ozbiljno su zastarjeli i nemaju jezik koji bi najbolje odgovarao trenutnoj generaciji računarstva i obrade podataka..

Kako Okvir Privacy Shield rješava probleme s privatnošću?

Prema Europskoj komisiji,  prijenos osobnih podataka izvan EU ili EEA nije dopušten ako se ne može zajamčiti odgovarajuća razina zaštite. To znači da su tvrtke koje prikupljaju podatke od građana EU-a i prenose te podatke preko granice, ili građani EU-a koji svoje podatke šalju američkim kompanijama, naišli na pravni zastoj. Rješenje za to bio je Okvir privatnosti.

Za države članice Europske unije i njihove građane, zaštita privatnosti namijenjena je sljedećim stvarima:

  • Osigurati transparentnost tvrtki u obliku javnih deklaracija o svojim pravilima korištenja podataka
  • Omogućite pojedincima mogućnost da isključe prijenos svojih podataka trećoj strani
  • Uspostaviti zaštitne mjere kako bi se osiguralo da organizacije koje prenose podatke trećim stranama prenose ih tim stranama samo na ograničenu upotrebu te da se i oni treći korisnici pridržavaju zahtjeva za zaštitu podataka
  • Uvjerenja da tvrtke i organizacije štite podatke od gubitka sigurnosnim i šifrirajućim metodama
  • Zaštita od zlouporabe osobnih podataka izvan predviđene namjene
  • Omogućiti pojedincima pristup informacijama koje ih organizacije posjeduju, uz mogućnost izmjene, ispravke ili brisanja tih podataka tamo gdje postoje netočnosti ili su zloupotrijebljeni u skladu s načelima zaštite privatnosti
  • Provedba načela zaštite podataka brzom arbitražom za pojedince koji podnose zahtjeve, bez ikakvih troškova za pojedinca koji podnosi zahtjev, pravilnom istragom zahtjeva i provjere ili zaštitom privatnosti, kao i brzim postupcima rješavanja.

To se prosječnom korisniku interneta može osjećati pomalo teškim. Jednostavno rečeno, Privacy Shield postoji kao skup postupaka koje američke organizacije i tvrtke moraju poštivati ​​prilikom obrade podataka o pojedinim korisnicima osiguravajući da su njegovo prikupljanje i uporaba u skladu sa zakonima Europske unije.

Što štit privatnosti znači za potrošače?

Za potrošače, Privacy Shield služi jednoj od glavnih svrha: zaštiti od zlouporabe i neopravdanog prikupljanja podataka o osobnoj identifikaciji. Kako je privatni štit dizajniran za zaštitu građana Europske unije od zlouporabe njihovih podataka tijekom prolaska u Sjedinjene Države i izvan nje, privatni štit štiti samo članice EU-a i tri države Europskog gospodarskog prostora: Norvešku, Lihtenštajn i Island.

Nije osmišljen da štiti američke potrošače niti proširuje na američke potrošače iste zaštite koje su dodijeljene članicama EU prema Direktivi o zaštiti podataka. Umjesto toga, Privacy Shield je ugovor između SAD-a i EU-a koji se fokusira na e-trgovinu i nadzor države. Te zaštite uključuju i skupno prikupljanje podataka, kako od poduzeća tako i od vlade SAD-a, gdje formulacija uključuje značajna ograničenja za ono što i privatne i američke vladine obavještajne agencije i agencije za provođenje zakona mogu, a što ne mogu učiniti s osobnim podacima.

Ono što je najvažnije za građane EU, uključivanje mehanizma pravne zaštite i zadaća ombudsmana u rješavanju pitanja privatnosti bili su sastavni dio osiguravanja da tenuski sporazum bude u stanju prenijeti prikupljanje.

Što štit privatnosti znači za tvrtke?

Za tvrtke, zaštita privatnosti pruža element povjerenja potrošačima iz EU-a i lakši je način upotrebe podataka o kupcima iz EU-a. Prije zaštite privatnosti, tamošnji sustav bio je poznat kao Sigurna luka. Ti su principi bili slični onome što trenutno postoji u zaštiti privatnosti, samo uz manje, manje restriktivne zaštite privatnosti. Nakon što je austrijski odvjetnik Max Schrems dokazao da načela sigurne luke SAD-EU nisu uspjela pokriti njegove privatne podatke na Facebooku, Sud Europske unije poništio je zakon 2015. godine. Sigurna luka postojala je 15 godina, od 2000. do njenog nevaljanja u 2015. To što je izrađen prije glavnih usluga društvenih medija koji prikupljaju podatke poput Facebooka i Patriot zakona ukazuje na to zašto nije ispunio promjenjive zahtjeve o privatnosti, a posebno one navedene u Direktivi o zaštiti podataka..

Kada je Safe Harbor bio nevažeći, mnoge američke tvrtke nisu mogle legalno prikupiti ili pohraniti podatke od europskih kupaca. Kao takvi, EU i SAD brzo su radili na izradi zamjene, što je u konačnici rezultiralo zaštitom privatnosti. Poslovnim poduzećima ovo je omogućilo nastavak poslovanja kao i obično, a istovremeno je kupcima iz EU-a pružila dodatnu zaštitu koju su željeli upotrebom njihovih podataka. Ažuriranja zaštite privatnosti iz sigurne luke prisilile su nekoliko promjena za tvrtke:

  • Potrebna, detaljna javna izjava o sudjelovanju u programu. Ova izjava mora sadržavati posebno objašnjenje u vezi s koracima koje tvrtka poduzima kako bi osigurala zaštitu privatnosti i da tvrtka ispunjava načela zaštite privatnosti.
  • Pooštravanje podataka i prijenosa podataka. U Sigurnoj luci, treće strane imale su nekoliko ograničenja u načinu na koji mogu koristiti podatke prvog proizvođača koji su im preneseni. Pod zaštitom privatnosti, treće strane su ograničene u korištenju podataka kao i prve strane koje ih dobivaju i također moraju ukazati na svoju usklađenost sa štitom privatnosti..
  • FTC sada održava "zid srama" za one tvrtke koje krše načela zaštite privatnosti nakon što se javno pretplate na njih..
  • Poduzeća moraju odgovoriti na probleme pravne zaštite i moraju dopustiti korisnicima da ažuriraju, mijenjaju ili brišu podatke na zahtjev, sve dok su ti zahtjevi unutar razloga.

Tvrtke uključene u program Privacy Shield moraju osigurati da su njihovi podaci sigurni, da su u potpunosti u skladu s Načelima i da su njihov pravni tim i osoblje u potpunosti svjesni zahtjeva FTC-a koji se odnose na sudjelovanje u zaštiti privatnosti..

Velike korporacije imaju jedinstveni utjecaj

Za velika poduzeća poput Applea, Facebooka i Googlea, princip integriteta podataka i ograničavanja svrhe doista je najviše ograničavajući aspekt zaštite privatnosti. Ovaj princip značajno ograničava način na koji tvrtke mogu koristiti skupne podatke za potrebe analize podataka, navodeći da "osobni podaci moraju biti ograničeni na podatke koji su relevantni za potrebe obrade". Velike web stranice društvenih medija imaju duboku, pravnu brigu zbog zakona. Čovjek koji je izravno odgovoran za krajnju propast Safe Harbora, Max Schrems, smatra da zaštita privatnosti nije dovoljna za tvrtke poput Facebooka, Applea i Googlea, te očekuje da u konačnici propadne.

Isto tako, velike tvrtke imaju veću vjerojatnost da će pohraniti podatke i vjerojatnije će slati podatke o kupcima trećim stranama. To stvara tanku poziciju za te tvrtke, jer su ograničenja pohrane podataka i prijenosa tih podataka trećim stranama vrlo ograničena. Šanse da se protiv Principa nađu negativno povećavaju se samo za ove velike korporacije.

Sudjelovanje u Štitu privatnosti je dobrovoljno

Aktivni popis štitnika privatnosti
Nijedno poduzeće u SAD-u nije primorano na sudjelovanje u Privacy Shield-u. Čak i tvrtke koje žele dovesti kupce iz Europe nisu obvezne sudjelovati. U skladu s tim, tvrtkama se snažno potiče sudjelovanje iz jednog, primarnog razloga: pravne posljedice.

One tvrtke koje se odluče za samopotvrđivanje u skladu sa zaštitom privatnosti identificiraju da su uskladile svoje standarde zaštite podataka s onima koje ispunjavaju pravne standarde EU za prikupljanje i obradu podataka. Ta jasnoća seže u dobru pravnu zaštitu za tu tvrtku. Međutim, tvrtke koje odluče da ne usvoje ove standarde otežavaju njihov život. Iako je još uvijek moguće poslovati u EU-u, nedostatak jasnoće ostavlja poduzeća otvorenijima za pravne izazove. Za većinu strana, sudjelovanje privatnosti štit je jednostavan način da se smanji smanjeni pravni izazovi.

Štit privatnosti ne štiti poduzeća od državnih zahtjeva

Važno je da i tvrtke i potrošači shvate da zaštita privatnosti ne sprječava američku vladu ili agencije za provođenje zakona da traže podatke od tvrtki poput Facebooka ili Googlea. No, zaštita privatnosti, uz revidiranu verziju Zakona o patrioti, značajno je ograničila kakve se informacije mogu dobiti i pod kojim pretpostavkama.

Ipak, mnogi promatrači ističu da načela zaštite privatnosti imaju jasne slabosti u tom pogledu, posebno kada je u pitanju provođenje od strane američkih regulatornih tijela. Ostaje da se vidi može li američka tvrtka biti kažnjena zaštitom privatnosti zbog poštovanja zahtjeva savezne vlade ili zahtjeva za provođenje zakona. Međutim, Privacy Shield pruža tvrtkama put i opravdanje za odbijanje, barem što se tiče podataka građana EU-a.

Štitnik privatnosti možda će se 2018. morati mijenjati s novim EU propisima

Štit privatnosti dizajniran je tako da udovolji pitanjima privatnosti država članica EU i njenih građana radeći s Direktivom o zaštiti podataka. Međutim, u travnju 2016., Europska komisija je donijela novi zakon koji regulira pitanja privatnosti podataka: Opća uredba o zaštiti podataka. GDPR je zamišljen da zamijeni DPD u 2018. To je zato što DPD, donesen 1995. godine, ne uspijeva na adekvatan način riješiti promjene u tehnologiji s kojima se sada bave tvrtke i potrošači, posebno one koje se odnose na velike podatke i njegovu važnost za poslovanje.

Postoji nekoliko značajnih razlika između Direktive i Uredbe:

  • Novi GDPR ostavlja malo prostora za tumačenje od strane pojedinih država članica, dok su Direktivu različite države članice EU tumačile na različit način. To uključuje novu, jedinstvenu definiciju onoga što "osobni podaci" zapravo znače, nešto što je DPD također ostavio na tumačenje.
  • Novi GDPR tvrdi da se organizacije mogu služiti osobnim podacima, zahtijevajući od njih da vidljivo prikažu i objasne kako namjeravaju koristiti podatke i zapravo informiraju korisnike kada žele te podatke koristiti na različite načine. Tu je i nova odredba o "uključenju" za pohranu podataka, tako da organizacije ne mogu jednostavno pohraniti podatke prema zadanim postavkama.
  • Novi GDPR primjenjuje se na sva poduzeća i organizacije koje bave podacima o građanima EU-a, bez obzira sudjeluju li u zaštiti privatnosti ili ne. Ovim se proširuje područje primjene propisa koji obuhvaćaju privatne podatke građana EU-a izvan granica EU-a.
  • Organizacije sada moraju pratiti i kako koriste podatke i kamo idu ti podaci. Te informacije moraju biti lako dostupne na zahtjev. Velike organizacije (250 zaposlenika ili više) moraju imati službenika za zaštitu podataka koji će moći pratiti gdje se podaci kreću unutar organizacije i izvan nje.
  • I kontrolori podataka i obrađivači podataka sada su odgovorni za način na koji se podaci koriste i štite. To znači da su organizacije trećih strana podjednako odgovorne kao i druge strane.
  • GDPR uključuje potrebnu politiku prijavljivanja kršenja. Svaka kršenja podataka moraju se prijaviti u roku od 72 sata. To također rezultira vanjskom istragom metoda sigurnosti podataka korištenih u vrijeme kršenja.

Sva bi ta pravila trebala zvučati poznato. Oni se poklapaju s većinom onoga što nalazimo u Načelima zaštite privatnosti. To nije slučajno. Štit privatnosti i novi GDPR izrađeni su istovremeno i osmišljeni kako bi radili zajedno. Međutim, GDPR stupa na snagu do 2018. Mnogi promatrači čekaju da vide hoće li se Štit privatnosti držati dovoljno dobro da bi mogao biti učinkovit partner novim GDPR regulativama.

Najveća zabrinutost trenutno je postupak „samozavjerenja“, koji neki promatrači smatraju najvećom slabošću štitnika privatnosti. Proći će dvije godine od stupanja na snagu GDPR-a, ostaje da se vidi hoće li štit privatnosti zadržati daljnje provjere.

"Sigurna luka" Simona McGarra licencirana pod CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

1 + 8 =

Adblock
detector