Hva er GDPR personvernloven og hvorfor bør du bryr deg?
Generell databeskyttelsesforordning (GDPR) er en ny EU-lov som trer i kraft i dag, og det er grunnen til at du har mottatt non-stop e-postmeldinger og varsler om personvernoppdateringer. Så hvordan påvirker dette deg? Her er hva du trenger å vite.
Den nye GDPR-loven trer i kraft 25. mai 2018, og dekker databeskyttelse og personvern for EU-borgere, men det gjelder også mange andre land på ulike måter, og siden alle tech-gigantene er store multinasjonale selskaper , det påvirker mange ting du bruker på daglig basis.
Problemet GDPR prøver å løse: Bedrifter samler og misbruker din personlige informasjon
Siden starten av internett har selskapene samlet inn så mye data som mulig på alle de kan. Det er enkelt å samle inn den informasjonen, så det er ingen grunn for at de ikke skal hakke på det.
Problemet er at mange bedrifter i løpet av de siste årene har blitt fanget, unnlatt å beskytte eller misbruke deres personlige opplysninger. Cambridge Analytica-skandalen, hvor en forsker brukte en Facebook-quiz til å samle store mengder data på millioner av Facebook-brukere og så solgte den til et konsulentfirma, er bare det siste eksemplet. Equifax hack i fjor var spesielt dårlig fordi informasjonen lekket kunne brukes til å åpne kredittkort. Og det er bare de store skandalene. Mange selskaper har misbrukt dataene dine på mindre måter, for eksempel å selge den til tredjeparts reklamebyråer.
EU har tatt en svak utsikt over situasjonen og bruker GDPR for å prøve å rette opp det. Under de nye lovene står selskaper som ikke tilstrekkelig beskytter forbrukerdata eller misbruker det på noen måte med store bøter.
Hva er ansett personopplysninger?
GDPR beskytter "personlige data", som her betyr "all informasjon knyttet til en identifisert eller identifiserbar fysisk person" - og det er en ganske bred definisjon. I virkeligheten kommer personopplysninger generelt til å inkludere ting som:
- Biografiske data som ditt navn, adresse, telefonnummer, personnummer, og så videre.
- Data relatert til ditt fysiske utseende og oppførsel som hårfarge, rase og høyde.
- Informasjon om din utdanning og arbeidshistorie som din lønn, høyskole grad, GPA, skatte-ID, og så videre.
- Eventuelle medisinske eller genetiske data.
- Ting som anropshistorikken, private meldinger eller geografisk data.
Dette er langt fra en komplett liste. Nøkkelen er at eventuelle data som gjør at du kan identifisere teller. Under visse omstendigheter kan hårfaren din være nok. I andre, selv ditt fulle navn - hvis det er noe vanlig som Robert Smith - kan det ikke bli identifisert.
Hva gjør GDPR?
GDPR gir EU-innbyggere som har sine personopplysninger samlet inn, kalt "registrerte" i loven åtte rettigheter. De er:
- Retten til å bli informert: Hvis et selskap samler inn data, må de fortelle registrerte det som samles inn, hvorfor det samles inn, hva det blir brukt til, hvor lenge det skal holdes, og om det skal deles med tredjeparter. Denne informasjonen kan ikke bli begravet dypt i en tjeneste som ingen leser; det må være kortfattet og i klart språk.
- Retten til tilgang: Hvis de ber om det, må enhver organisasjon som har personlige opplysninger angående en registrert, gi den til dem innen en måned.
- Retten til utbedring: Hvis en registrert finner ut at et selskap har data om dem som er feil, kan de be om at det blir oppdatert. Bedrifter har en måned til å overholde.
- Retten til å slette: En registrert kan be om at et selskap sletter data som holdes på dem under visse omstendigheter. For eksempel, hvis dataene ikke lenger er nødvendig, eller de trekker tilbake samtykket til at de skal brukes.
- Retten til å begrense behandlingen: Hvis en organisasjon ikke kan slette en registreres data - for eksempel fordi de trenger det for juridisk sak - så kan de be om at selskapet begrenser hvordan det brukes.
- Retten til dataportabilitet: Datapersoner har rett til å ta personopplysninger fra en tjeneste og bruke den med en annen.
- Retten til å motsette seg: Hvis data samles inn uten samtykke, men for legitime forretningsinteresser, for allmennheten eller av en offisiell myndighet, kan den registrerte protestere. Organisasjonen må da slutte å behandle dataene til de kan bevise at de har legitime grunner til å gjøre det.
- Rettigheter knyttet til automatisert beslutningstaking, inkludert profilering: GDPR setter i orden beskyttelsesforanstaltninger slik at enkeltpersoner kan motsette seg eller få en forklaring om automatiserte beslutninger som påvirker dem og deres data.
En annen stor del av regelverket er at selskapene må ha en lovlig grunn til å samle inn eller behandle data. En av de lovlige årsakene er at de har fått samtykke til å bruke det til et bestemt formål, men det er andre som de trenger det for å overholde juridiske forpliktelser eller at samle det er i offentlig interesse.
Som du ser, er rettighetene til EU-innbyggere under loven ganske brede og tvinger selskaper som samler inn data fra dem for å virkelig tenke på hva de samler og hvorfor. De gamle dagene til bare å samle alt de kan, og håper de finner en bruk for det, er senere borte - i hvert fall i Europa. Det er derfor nesten hver tjeneste du noen gang har gitt din e-postadresse, å kontakte deg.
Det som har mange selskaper i oppstyr er at sanksjonene for at de ikke er GDPR-kompatible, er ganske sterke. En organisasjon kan bli bøtelagt opp til € 20 millioner eller 4% av deres verdensomspennende årlige omsetning (i henhold til loven). For slike som Amazon eller Google, beløper dette milliarder dollar i potensielle bøter hvis de mishandler innbyggernes data.
Hva betyr GDPR for amerikanere?
Gjennom denne artikkelen har vi fokusert på hvilke rettigheter GDPR gir til EU-innbyggere av den enkle grunnen at det er en EU-lov. Den gjelder faktisk ikke for amerikanske borgere, med mindre de er bosatt i EU. Grunnen til at du får alle e-postene er at de fleste bedrifter ikke har mulighet til å fortelle hvem som er bosatt i EU og hvem som ikke er det.
Dette betyr imidlertid ikke at GDPR ikke vil påvirke deg. Det har forårsaket mange selskaper å revurdere hvordan de håndterer forbrukerdata, og noen av dem har begynt å snakke om å rulle GDPR rettighetene ut til ikke-EU-innbyggere. Og det er også enklere for bedrifter å håndheve et enkelt sett med regler for alle kunder i mange tilfeller.
For eksempel har Apple lansert en ny personvernportal der folk kan laste ned alle deres personlige data eller slette sin konto, med andre ord å gi mennesker rett til tilgang og sletting. For tiden kan bare EU-baserte kontoer bruke det, men Apple planlegger å rulle det ut over hele verden de neste månedene. Tilsvarende mumler Facebook om å gi de samme GDPR-beskyttelsene til enkelte brukere utenfor EU.