Hvað er GDPR?

GDPR er víðtæk persónuverndarlöggjöf sem veitir íbúum ESB yfirráð yfir persónuupplýsingum sínum. Hún á við um hverja þá stofnun -- hvar sem er í heiminum -- sem vinnur úr gögnum ESB-íbúa. Reglugerðin tekur til söfnunar, geymslu, vinnslu og deilingar gagna.

Lykilmeginreglur GDPR

Við hvern á GDPR við?

GDPR á við um hverja þá stofnun sem vinnur úr persónuupplýsingum einstaklinga í ESB, óháð staðsetningu stofnunarinnar. Þetta á við um fyrirtæki í Bandaríkjunum, Asíu, eða hvar sem er annars staðar sem eiga ESB-viðskiptavini, heimsóknargestalægi eða starfsmenn.

Einstaklingsréttindi undir GDPR

• Réttur til aðgangs: Notendur geta óskað eftir afriti af gögnum sínum.
• Réttur til leiðréttingar: Notendur geta leiðrétt ónákvæmar upplýsingar.
• Réttur til eyðingar: "Rétturinn til að gleymast."
• Réttur til gagnaflutningstækni: Notendur geta flutt gögn sín yfir í aðra þjónustu.
• Mótmælaréttur: Notendur geta mótmælt tilteknum gerðum vinnslu.
• Réttur til að takmarka vinnslu: Notendur geta takmarkað hvernig gögn þeirra eru notuð.

Viðurlög við brotum

GDPR og lög um stafræna markaði (DMA)

Frá 2024 virkar lög ESB um stafræna markaði samhliða GDPR til að stjórna hvernig stór vettvangur meðhöndlar notendagögn. DMA krefst þess að tilgreindir "gæsluverðir" (eins og Google, Apple og Meta) fái skýlaust samþykki áður en þeir sameina notendagögn þvert yfir þjónustur.

GDPR og vafrakökur: Hlutverk samþykkisstjórnunar

Samkvæmt GDPR og ePrivacy tilskipuninni verða vefsíður að fá skýlaust samþykki áður en ónauðsynlegar vafrakökur eru settar. Þetta þýðir að samræmt vafraköku-borði er ekki valfrjálst -- það er lagaleg krafa. Lykilþættirnir eru m.a.:

• Ónauðsynlegar vafrakökur (greiningar, markaðssetning, auglýsingar) verða að vera læstar þar til notandinn gefur skýlaust samþykki
• Samþykki verður að vera gefið af fúsum og frjálsum vilja -- engir fyrirfylltir hakar eða vafrakökuveggir sem þvinga til samþykktar
• Notendur verða að geta afturkallað samþykki jafn auðveldlega og þeir gáfu það
• Samþykkisskrár verða að geyma og vera aðgengilegar til endurskoðunar

Google Consent Mode V2 og GDPR

Frá mars 2024 krefst Google þess að vefsíður sem þjóna auglýsingum á Evrópska efnahagssvæðinu (EES) noti Google-vottaðan CMP og innleiði Consent Mode V2. Þessi samþætting tryggir að samþykki­merki eru réttilega miðlað til Google-þjónustu.

IAB TCF 2.3 og GDPR-samræmi

Útgáfa 2.3 af IAB-gagnsæis- og samþykkisramma (TCF) veitir staðlaðar leiðir til að safna og miðla samþykki í gegnum stafræna auglýsingavistkerfið. Notkun á TCF 2.3-samhæfðum CMP eins og FlexyConsent tryggir að samþykkismerki séu réttilega sniðin og send til allra auglýsingasala í birgðakeðjunni.

Hvernig á að uppfylla GDPR árið 2026

• Endurskoðaðu söfnun og vinnslustarfsemi gagna þinna
• Innleiddu Google-vottaðan CMP eins og FlexyConsent
• Gakktu úr skugga um að CMP þinn styðji IAB TCF 2.3 og Google Consent Mode V2
• Búðu til skýrar og aðgengilegar persónuvernd- og vafrakökustefnur
• Virkjaðu beiðnir um aðgang gagnaeiganda (DSAR)
• Þjálfaðu teymið þitt í persónuverndarábyrgð
• Skiptu yfir persónuverndarfulltrúa (DPO) ef þess er krafist
• Innleiddu verklagsreglur um tilkynningar um gagnabrot (72 klst. reglan)
• Framkvæmdu reglulegar mat á áhrifum persónuverndar (DPIA)