Vad du behöver veta om EU: s allmänna databeskrivningsförordning (GDPR)
Med varje dag som passerar samlar stora organisationer som existerar främst på Internet massiva mängder data från människor att sälja till annonsörer och andra enheter som kan utnyttja det för att tillgodose sina erbjudanden till dem. Oavsett om du tror att det här är oförskämt, missvisat eller helt enkelt ett tecken på förändringstiderna, kan vi alla vara överens om att fenomenet för datainsamling har nått höjder vi inte har bevittnat någon gång i historien.
Detta har gjort många känslor som om de förlorar kontrollen över sin egen personliga information, och vissa regeringar har börjat diskutera hur de ska ingripa för att hjälpa människor att återfå den kontrollen. EU upprättade till exempel den allmänna databeskrivningsförordningen (GDPR) som träder i kraft den 25 maj 2018.
Vad GDPR är och är inte
Europeiska kommissionen har kämpat för att hålla alla sina ankor i rad under det senaste decenniet om data och integritet. GDPR är ett försök att förena alla dessa lagar i en enda ram, vilket gör det lättare för företagen att följa dem. Ramverket lägger också till ett par nya regler som i stor utsträckning är avsedda att ersätta dataskyddsdirektivet från 1995.
Denna uppgradering resulterade i ett dokument på över 200 sidor.
Medan GDPR: s uppdrag och syfte lade fram EU som en uppsättning lagar som syftar till att "ge medborgarna tillbaka kontrollen över deras personuppgifter", betyder det inte att det här är ett botemedel - allt för alla elände att "medborgare på internet" lider.
Å andra sidan lägger GDPR stor vikt vid samtycke. Webbplatser som samlar in data krävs för att användarna ska kunna välja sig för datainsamling.
För att sammanfatta allt i en snygg mening anges i allmänna databeskrivningsförordningen skyldigheter från operatörer i EU och nya rättigheter för personer som använder sina tjänster.
De rättigheter som erbjuds av GDPR
Personer som använder tjänster som omfattas av GDPR: s räckvidd är kända som "registrerade" av skäl som bör vara uppenbara (t.ex. du är föremål för en webbplats som samlar in data om dig). I kapitel 3 i lagstiftningen kan vi tydligt se alla de rättigheter som dokumentet förklarar:
- Ett företag måste klargöra för användaren att deras data kommer att samlas in och på vilket sätt det skulle användas. Denna kommunikation måste ske skriftligen eller på andra lämpliga sätt elektroniskt. Detta tillämpas särskilt när mindre individer är involverade (artikel 12, 15).
- Om datainsamlingen äger rum har användaren rätt att veta hur man kontaktar företaget eller dess dataskyddspersonal. Lagligen måste användaren ha ett sätt att kontakta samlaren. Företaget som samlar in data måste också göra det möjligt att återkalla samtycke när som helst (artikel 13, 21).
- Även om datainsamling inte äger rum har användaren fortfarande rätt till kontaktuppgifterna som anges ovan (artikel 14).
- Användaren har rätt att korrigera eventuella felaktigheter i uppgifterna (artikel 16).
- Artikel 17 ger "rätt att bli glömd" till GDPR, ett gammalt europeiskt koncept som gör det möjligt för användarna att begära att deras uppgifter raderas fullständigt från en databas.
- Användaren har rätt att begära att webbplatsen inte längre behandlar data om de inte vill att den raderas helt (artikel 18).
- Om ett företag har delat en användares data med andra parter måste alla meddelas om eventuella raderingar, korrigeringar eller begränsningar. Användaren måste ha rätt att all databehandling avbryts från alla parter (artikel 19).
- Användaren har rätt att begära uppgifter som har samlats in (artikel 20).
- Användare har rätt att inte fatta beslut om deras behandling baserat på data som automatiskt samlas in från dem (artikel 22).
Alla dessa rättigheter kommer med komplementära skyldigheter som verkställs på företagen, och de kan möta allvarliga konsekvenser om de inte följer. Mängden detaljer som läggs in i denna lagstiftning gör det kanske en av de största digitala lagarna för skydd av personuppgifter i världen.
Vad GDPR säger om dataöverträdelser
Det har blivit en växande trend att stora företag drabbas av överträdelser, förlorar en massa kunddata, och sedan misslyckas med att rapportera förlusten för de berörda personerna. I november 2017 var Uber föremål för en skandal efter att det visades att det visste om ett brott i över ett år, svepte det under mattan och betalade hackarna som var ansvariga för att hålla sina munar stängd.
Denna typ av övning behandlas nu av GDPR, vilket ger företagen sjuttiofem timmar för att rapportera överträdelser av uppgifter till myndigheter (skäl 85), för att de inte ska bära en böter på 20 miljoner euro eller 4% av omsättningen.
Detta kan hjälpa till med att bli av med företagsledarnas utveckling som döljer sina överträdelser tills det förmodligen är för sent för sina kunder att vidta åtgärder för att förhindra att de blir utsatta ytterligare.
Företagen är också skyldiga att kryptera deras data för att " göra [det] oförståeligt för någon person som inte har behörighet att komma åt den. "Beviljas, det stora flertalet av dina data på nätet sparas på detta sätt, men det är fortfarande uppmuntrande för vissa att se detta kodas in i lag.
Finns det nackdelar med GDPR?
GDPR är förmodligen den djärvaste tanken att Europeiska kommissionen har gått de senaste åren och gjort stora förändringar i förhållandet mellan tjänsteleverantörer och deras användare. De rättigheter som föreskrivs i lagstiftningen innebär flera infrastrukturförändringar som vissa företag måste genomgå, även om bördan inte är så stor som vissa kritiker säger. För att få ett tydligare perspektiv på hur GDPR kan påverka affärer, har vi två källor: en rapport från UK Information Commissioners Office och en undersökning som Ovum genomförde 2015.
I den brittiska undersökningen ser vi att "majoriteten av företagen inte kan kvantifiera sina nuvarande utgifter i samband med dataskyddsansvar." Detta är väldigt vagt, men det är säkert att anta att GDPR: s effekter på företagen inte har varit ordentligt bedömas. Detta kommer att bli tydligare fram till 2018 när lagen har tid att få effekt. Den statliga myndigheten som beställde studien kom till slutsatsen att lokala regeringar kunde göra mer för att hjälpa företagen att göra sig redo och ge stöd och utbildning för sina anställda.
Ovum-rapporten, med titeln "Data Privacy Laws: Cutting the Red Tape", går lite mer djupgående genom att ge en fullständig analys av hur företag uppfattar förändringarna. Företaget intervjuade 366 globala IT-företag, varav mer än 70% av dem "förväntar sig att öka utgifterna för att uppfylla krav på krav på suveränitet". Bilden är inte alls dyster, men 53% av affärsplanen för att använda teknik från tredje part för att hjälpa dem att upprätthålla datainsynlighet.
Kort sagt, medan GDPR definitivt kommer att påverka europeiska företag är det inte uppenbart huruvida denna effekt kommer att vara helt negativ.
Efter att ha läst allt detta, tycker du att GDPR skyddar webbrukarens rättigheter tillräckligt? Eller behöver denna lagstiftning gå tillbaka till ritbordet? Berätta för oss i en kommentar!