Hvad er GDPR-loven om beskyttelse af personlige oplysninger, og hvorfor skal du pleje?
Generelle databeskyttelsesforordningen (GDPR) er en ny EU-lov, der træder i kraft i dag, og det er grunden til, at du har modtaget non-stop-e-mails og meddeler opdateringer om privatlivspolitik. Så hvordan påvirker det dig? Her er hvad du behøver at vide.
Den nye GDPR-lov træder i kraft den 25. maj 2018 og dækker databeskyttelse og privatliv for EU-borgere, men det gælder også for mange andre lande på forskellige måder, og da alle tech giants er store multinationale selskaber , det påvirker mange af de ting, du bruger dagligt.
Problemet GDPR forsøger at løse: Virksomheder samler og misbruger dine personlige oplysninger
Siden starten af internettet har virksomhederne samlet så mange data som muligt på alle de kan. Det er nemt at indsamle oplysningerne, så der er ingen grund til, at de ikke lægger op.
Problemet er, at mange firmaer i de sidste par år er blevet fanget, hvis de ikke beskytter eller misbruger deres personlige oplysninger. Cambridge Analytica-skandalen, hvor en forsker brugte en Facebook-quiz til at samle store mængder data på millioner af Facebook-brugere og så solgte det til et konsulentfirma, er kun det nyeste eksempel. Equifax hack sidste år var særligt dårligt, fordi informationen lækket kunne bruges til at åbne kreditkort. Og det er bare de store skandaler. Mange virksomheder har misbrugt dine data på mindre måder, som at sælge det til tredjeparts reklamebureauer.
EU har taget et svagt billede af situationen og bruger GDPR til at forsøge at rette op på det. I henhold til de nye love står virksomheder, der ikke i tilstrækkelig grad beskytter forbrugerdata eller misbruger det, på nogen måde med store bøder.
Hvad er overvejede personlige data?
GDPR beskytter "personlige data", som her betyder "enhver information vedrørende en identificeret eller identificerbar fysisk person" - og det er en ret bred definition. I virkeligheden vil personoplysninger generelt omfatte ting som:
- Biografiske data såsom dit navn, adresse, telefonnummer, socialsikringsnummer og så videre.
- Data relateret til dit fysiske udseende og opførsel som hårfarve, race og højde.
- Oplysninger om din uddannelse og arbejdshistorie som din løn, kollegium grad, GPA, skat ID, og så videre.
- Eventuelle medicinske eller genetiske data.
- Ting som din opkaldshistorik, private beskeder eller geografiske data.
Dette er langt fra en komplet liste. Nøglen er, at alle data, der gør dig identificerbare tæller. Under visse omstændigheder kan din hårfarve være nok. I andre, selv dit fulde navn - hvis det er noget almindeligt som Robert Smith - muligvis ikke gør dig identificerbar.
Hvad laver GDPR?
GDPR giver EU-borgere, der har deres personoplysninger indsamlet, kaldet "registrerede" i de lov-otte rettigheder. De er:
- Retten til at blive informeret: Hvis en virksomhed indsamler data, skal de fortælle de registrerede, hvad der indsamles, hvorfor det bliver indsamlet, det, det bruges til, hvor længe det bliver opbevaret, og hvis det skal deles med tredjepart. Disse oplysninger kan ikke begraves dybt i en servicevilkår, som ingen læser; det skal være kortfattet og i almindeligt sprog.
- Retten til adgang: Hvis de anmoder om det, skal enhver organisation, der har personoplysninger om et registreret, give det til dem inden for en måned.
- Retten til berigtigelse: Hvis et registreret finder ud af, at et firma har data om dem, der er forkerte, kan de anmode om, at det bliver opdateret. Virksomheder har en måned at overholde.
- Retten til at slette: En registreret kan anmode om, at et firma sletter alle data, der holdes på dem under visse omstændigheder. For eksempel, hvis dataene ikke længere er nødvendige, eller de trækker deres samtykke tilbage til at blive brugt.
- Retten til at begrænse behandlingen: Hvis en organisation ikke kan slette en registreres data - for eksempel fordi de har brug for det til juridisk sag - så kan de anmode om, at virksomheden begrænser, hvordan den bruges.
- Retten til dataportabilitet: Registrerede personer har ret til at tage deres personlige data fra en tjeneste og bruge den med en anden.
- Ret til indsigelse: Hvis data indsamles uden samtykke, men for legitime forretningsmæssige interesser, for offentlighedens skyld eller ved en offentlig myndighed, kan den registrerede protestere. Organisationen skal derefter ophøre med at behandle dataene, indtil de kan bevise, at de har legitime grunde til at gøre det.
- Rettigheder relateret til automatiseret beslutningstagning, herunder profilering: GDPR indfører sikkerhedsforanstaltninger, således at enkeltpersoner kan modsætte sig eller få en forklaring om automatiserede beslutninger, der påvirker dem og deres data.
En anden stor del af reglerne er, at virksomheder skal have lovlig grund til at indsamle eller behandle data. En af de lovlige grunde er, at de har opnået samtykke til at bruge det til et bestemt formål, men der er andre, som de har brug for det til at overholde lovmæssige forpligtelser, eller at indsamle det er af almen interesse.
Som du kan se, er rettighederne til EU-borgere i henhold til loven ret brede og tvinger virksomheder, der indsamler data fra dem, for virkelig at tænke på, hvad de samler og hvorfor. De gamle dage med at samle alt, hvad de kan, og håber, at de finder brug for det senere, er væk - i hvert fald i Europa. Det er derfor stort set hver tjeneste, du nogensinde har givet din e-mail-adresse til, at kontakte dig.
Hvad der er mange virksomheder i et ståhej er, at sanktionerne for ikke at være GDPR-kompatible, er ret hårde. En organisation kan blive bødet op til 20 mio. EUR eller 4% af deres verdensomspændende årlige omsætning (alt efter hvad der er større) i henhold til lovgivningen. For Amazonas eller Google-medlemmer udgør dette milliarder dollars i potentielle bøder, hvis de mishandler EU-borgernes data.
Hvad betyder GDPR for amerikanere?
I hele denne artikel har vi fokuseret på hvilke rettigheder GDPR giver EU-borgere af den simple grund, at det er en EU-lov. Det gælder faktisk ikke for amerikanske borgere, medmindre de også er bosiddende i EU. Grunden til at du får alle e-mails er, at de fleste virksomheder ikke har mulighed for at fortælle, hvem der er bosiddende i EU, og hvem der ikke er.
Dette betyder dog ikke, at GDPR ikke vil påvirke dig. Det har fået mange virksomheder til at revurdere, hvordan de håndterer forbrugerdata, og nogle af dem er begyndt at tale om at rulle GDPR-rettighederne ud til ikke-EU-borgere. Og det er også enklere for virksomhederne at håndhæve et enkelt sæt regler for alle kunder i mange tilfælde.
For eksempel har Apple lanceret en ny privatlivsportal, hvor folk kan downloade alle deres personlige data eller slette deres konto, med andre ord at give folk ret til adgang og sletning. På nuværende tidspunkt kan kun EU-baserede konti bruge det, men Apple planlægger at rulle det ud over hele verden i løbet af de næste par måneder. Tilsvarende mumler Facebook om at give de samme GDPR-beskyttelser til nogle brugere uden for EU.