Från och med den 25 maj 2018, De Allmän dataskyddsförordning (GDPR) reglerna trädde i full kraft över hela Europeiska unionen (EU). GDPR-lagarna fastställde riktlinjer för hur personlig information samlas in, behandlas och används, samtidigt som de reglerar rätten att kontrollera vad som används. Att ta bort Chromes sökhistorik är en sak, men GDPR är mycket mer än bara ett enkelt sekretessalternativ. GDPR också påverkar alla länder som hanterar personuppgifter om individer inom EU. Böterna är rejäla för dem som inte följer GDPR ordentligt. Summan av kardemumman är att GDPR skyddar EU-invånare och ger dem rätt att kontrollera vilken information en person eller ett företag undanhåller och använder.
Facebook- och Cambridge Analytica-skandalen 2018 tog upp begreppen personlig reklam och datainsamling, och den lyfte fram farorna med sådana metoder. Sammanfattningsvis anklagades det brittiska analysföretaget Cambridge Analytica för att ha samlat in data från miljontals Facebook-konton utan användarnas samtycke och kunskap för att påverka röstvanorna i presidentvalet 2016.
Cambridge Analytica-skandalen + Facebook kan till och med ha spelat en roll i Brexit-omröstningen. Facebook ska ha öppnat dörren för att göra ett så grovt förtroendesvek möjligt.
Trots att GDPR är inrättat för att hantera hur företag hanterar data, syftar GDPR till att skydda alla som använder webben. Om du handlar online, tillåter cookies på webbplatser, registrerar dig på sociala nätverk och till och med prenumererar på nyhetsbrev, påverkar de nya reglerna dig och hur du surfar direkt. Om du någon gång delar personuppgifter med en annan person eller ett företag spelar GDPR en roll för hur data används.
Här är allt du behöver veta.
Vad är GDPR?
Källa: https://gdpr.eu/
EU:s General Data Protection Regulation (GDPR) resultat av fyra års arbete från EU för att anpassa dataskyddslagstiftningen till nya, tidigare oförutsedda sätt att använda data på.
Storbritannien förlitar sig redan på Data Protection Act 1998, som antogs efter EU:s dataskyddsdirektiv från 1995, men den nya lagstiftningen kommer att ersätta detta. GDPR inför strängare böter för bristande efterlevnad och överträdelser och ger människor mer inflytande över vad företag kan göra med deras data. Det gör också dataskyddsreglerna mer eller mindre identiska i hela EU.
Varför utarbetades GDPR?
Drivkrafterna bakom GDPR är tvåfaldiga.
Först, ville EU ge människor mer kontroll över hur deras data används. Många företag som Facebook och Google byter åtkomst till människors data för användningen av deras tjänster. Den nuvarande lagstiftningen antogs innan internet och molnteknik skapade nya sätt att utnyttja data, och GDPR försöker ta itu med det. Genom att stärka dataskyddslagstiftningen och införa strängare tillsynsåtgärder hoppas EU förbättra förtroendet för den framväxande digitala ekonomin.
Andra, vill EU ge företag en enklare och tydligare rättslig miljö att verka, vilket gör dataskyddslagstiftningen identisk på hela den inre marknaden (EU uppskattar att detta kommer att spara företagen sammanlagt 2,6 miljarder per år).
När trädde GDPR i kraft?
GDPR trädde i kraft den 25 maj 2018. Eftersom GDPR är en förordning, inte ett direktiv, behövde Storbritannien inte utarbeta ny lagstiftning. Istället gällde lagarna automatiskt. Förordningen började faktiskt den 24 maj 2016, då alla delar av EU gick med på den slutliga texten. Ändå hade företag och organisationer fram till den 25 maj 2018 för att lagen ska gälla.
För vem gäller GDPR?
”Kontrollanter” och ”behandlare” av data måste följa GDPR. En personuppgiftsansvarig anger hur och varför personuppgifter behandlas, medan en personuppgiftsbiträde är en part som gör själva behandlingen av uppgifterna. Så kontrollanten kan vara vilken organisation som helst, från ett vinstsökande företag till en välgörenhetsorganisation eller till och med en regering. En processor kan vara ett IT-företag som utför själva databehandlingen.
Som tidigare nämnts, men mycket viktigt, kommer registeransvariga och processorer baserade utanför EU fortfarande att kräva GDPR-efterlevnad när de hanterar data som tillhör EU-medborgare.
Det är den personuppgiftsansvariges ansvar att se till att deras processor följer dataskyddslagstiftningen, och processorer måste själva följa regler för att föra register över sina behandlingsaktiviteter. Om processorer är inblandade i ett dataintrång är de mycket mer ansvariga enligt GDPR än de var enligt dataskyddslagen.
Hur ger jag samtycke enligt GDPR?
Samtycke måste vara en aktiv, bekräftande åtgärd från den registrerade, snarare än ett passivt godkännande enligt vissa nuvarande modeller som tillåter förmarkerade rutor eller opt-out.
Personuppgiftsansvariga måste registrera hur och när en individ gav sitt samtycke, och att individer kan dra tillbaka sitt samtycke när de vill. Om din nuvarande modell för att erhålla samtycke inte uppfyller dessa nya regler, måste du aktualisera den eller sluta samla in data under den modellen.
Vad räknas som personuppgifter enligt GDPR?
EU har avsevärt utökat definitionen av personuppgifter enligt GDPR. För att återspegla de typer av data som organisationer nu samlar in om människor, online-identifierare såsom IP-adresser kvalificeras som personuppgifter. Annan data, som t.ex ekonomisk, kulturell och mental hälsoinformation, betraktas också som personligt identifierbar information.
Pseudonymiserade personuppgifter kan också omfattas av GDPR-regler, beroende på hur lätt eller svårt det är att identifiera vems uppgifter det är.
Allt som räknas som personuppgifter enligt dataskyddslagen kvalificeras också som personuppgifter enligt GDPR.
När kan jag komma åt de uppgifter som företagen lagrar om mig?
Du kan begära åtkomst med ”rimliga intervaller” och kontroller måste i allmänhet svara inom en månad. GDPR kräver att registeransvariga och processorer är transparenta med hur de samlar in data, vad de gör med dem och hur de behandlar dem. Förklaringarna måste vara tydliga (med klarspråk) när de beskriver datapolicyerna och procedurerna för dig.
Du har rätt att få tillgång till all information som ett företag har om dig, och den rätt att veta varför uppgifterna behandlas, hur länge den lagras, och vem får se det. Om möjligt bör personuppgiftsansvariga ge säker, direkt åtkomst för människor att granska vilken information en personuppgiftsansvarig lagrar om dem.
Du kan också be om att uppgifterna, om de är felaktiga eller ofullständiga, korrigeras när du vill.
Vad är GDPR:s ”rätt att bli glömd?”
Du har rätt att kräva att dina uppgifter raderas om de inte längre är nödvändiga för det syfte de samlades in. Detta scenario är känt som ”rätten att bli glömd”. Enligt denna regel kan du kräva att dina uppgifter raderas om du har återkallat ditt samtycke för att de ska samlas in, eller invända mot hur det bearbetas.
Den personuppgiftsansvarige är ansvarig för att tala om för andra organisationer (till exempel Google) att ta bort alla länkar till kopior av data och själva kopiorna.
Vad händer om jag vill flytta min data någon annanstans?
Kontrollanter måste nu lagra människors information i vanliga format (som CSV-filer) för att flytta en persons data till en annan organisation (gratis) om personen begär det. Kontrollanter måste göra detta inom en månad.
Vad händer om ett företag drabbas av ett dataintrång?
Det är företagets ansvar att informera dataskyddsmyndigheten om alla dataintrång som riskerar människors rättigheter och friheter inom 72 timmar från det att organisationen blivit medveten om det. Den brittiska myndigheten är Information Commissioner’s Office. Informationskommissionär Elizabeth Denham anser att administrationen behöver mer resurser för att klara av polisens GDPR och svara på organisationer som meddelar den om överträdelser. I mars 2017 berättade hon för EU:s underkommitté för inrikes frågor att mer finansiering var nödvändig för att rekrytera och behålla kunniga personer.
Den tidsfristen är tillräckligt snäv för att betyda att företag förmodligen inte kommer att känna till varje detalj av ett brott förrän efter att ha upptäckt det. Deras första kontakt med sin dataskyddsmyndighet bör dock beskriva arten av data som påverkas, ungefär hur många människor som påverkas, vad konsekvenserna kan innebära för dem, och vilka åtgärder de redan har vidtagit eller planerar att vidta som svar.
Redan innan du ringer dataskyddsmyndigheten bör företaget berätta för dem som berörs av dataintrånget. De som misslyckas med att hålla tidsfristen på 72 timmar kan få en straffavgift på upp till 2 % av sin årliga globala omsättning, eller 10 miljoner euro ($11 305 550 från och med den 12 juli 2020 och med förbehåll för valutafluktuationer), beroende på vilket som är högst.
Okej, vilka andra böter finns det för att inte följa GDPR?
Om ett företag inte följer de grundläggande principerna för att behandla data, såsom samtycke, ignorera individers rättigheter över sina uppgifter eller överföra data till ett annat land, är böterna värre. Dataskyddsmyndigheten kan utfärda ett straff på upp till 20 miljoner euro ($22 611 500 från och med den 12 juli 2020 och med förbehåll för valutafluktuationer) eller 4 % av företagets globala årliga omsättning, beroende på vilket som är störst.
