Den generelle databeskyttelsesforordning: Hvad du har brug for at vide

Hvis du har fulgt nyhederne, især Facebook-skandalen, vil du have fanget noget af det, der kaldes GDPR, som er bestemt til at begynde at beskytte EU-borgernes data fra maj og fremover. Vi besluttede at gå i dybden med denne EU-lovgivning og give Dem vores overtagelse af den almindelige databeskyttelsesforordning, give den dens fulde navn og se, hvordan den kan ændre verden.


EU GDPR træder i kraft den 25. maj 2018 og påvirker dybest set hver enkelt virksomhed, der opbevarer dataene fra kunder i EU – hvilket i disse dage betyder stort set enhver virksomhed, periode.

Dette betyder, at GDPR også vil have en global indvirkning, simpelthen fordi mange, hvis ikke alle, virksomheder allerede driver forretning i EU og sandsynligvis vil udrulde de nødvendige ændringer til internationale kunder, hvis kun for at redde sig selv en verden af ​​problemer.

Et sæt love, der først blev gennemtænkt i Tyskland, vil således påvirke folk fra De Forenede Stater hele vejen til Australien (se på kortet fra øst til vest for at få mest muligt ud af den tale). Ikke til alles tilfredshed, selvfølgelig, men i det store og hele kommer Cloudwards.net-redaktionerne ned til fordel for GDPR: sikker på, det er klodset, men det får jobbet gjort.

Skønt Facebook-skandalen er den første, der virkelig får blodet til at flyde blandt mennesker, er det kun den seneste i en massiv række af krænkelser af privatlivets fred i de sidste to årtier. Det lægger den næsten systematiske måde til side, hvor virksomheder rundt om i verden, ofte i samarbejde med regeringen, har brugt dataene fra dig og mig til at tjene uanstændige mængder af penge, vores rettigheder bliver fordømt.

Som du kan se, hvis du forventede, at vi skulle slukke for vores digitale soapbox til denne, så betrag dig som skuffet. Faktisk stablede vi en anden soapbox oven på vores regelmæssige bare for at skrive denne artikel. Det giver ubehagelig skrivning, men fornøjelsen ved at heppe på en af ​​de første virkelig stærke stykker lovgivning om beskyttelse af personlige oplysninger gør det umagen værd. Lad os komme ind på de vigtigste dele af GDPR.

Privatliv derefter og nu

I øjeblikket er dataene fra EU-borgere beskyttet af et sæt regler, der først blev udsat i 1995. Dengang brugte næsten ingen e-mail, internettet var en række rør, du har adgang til ved hjælp af Netscape (mange læsere har ingen idé om, hvad vi mener, andre vil have, at det grimme fyrtårnlogo dukker op i deres sind) og sociale medier kaldte dine venner for at se, hvordan de havde det.

Vi vokser ikke nostalgisk her, forresten, det 21. århundrede er fantastisk.

Som du kan forestille dig, er alle regler, der er fastlagt i løbet af denne tid, blevet fanget op af teknologi; det er som om de hastighedsgrænser, der er indstillet for hestevogne, gælder nu for offentlige motorveje. EU har fra tid til anden plettet huller i de gamle love med nye tillæg, men i lighed med dårligt anlagt VVS kan du kun lappe det så mange gange, før du skal erstatte det helt.

Denne erstatning er GDPR, der efter meget, meget debat i Bruxelles og Strasbourg blev vedtaget den 14. april 2016 – EU-lovgivning skal så at sige modne i to år, før de træder i kraft. I modsætning til megen lovgivning om privatlivets fred og nutiden har GDPR tænder: manglende overholdelse vil resultere i en bøde på 20 millioner euro eller fire procent af den årlige globale indtægt, alt efter hvad der er højest. av.

Det er ikke så underligt, at mange virksomheder krymper for at få deres hus i orden, før GDPR træder i kraft. Gnisten er naturligvis, at GDPR er meget vidtrækkende, hvilket betyder, at virksomheder, der aldrig engang troede, at de måske skulle bekymre sig om deres kunders data, pludselig står over for en række foranstaltninger, de har brug for at gennemføre.

Det er ikke ligefrem retfærdigt, men så igen, de har magtfulde selskabers dårlige praksis til at takke for deres vanskelighed mere end EU. En gang imellem kommer der en historie op, hvor et selskab, en virksomhed eller en app blev givet bestemte privilegerede data og derefter bevidst og villigt solgte dem videre til andre uanset grund. Et nyligt eksempel er et, hvor gay-dating-app Grindr afslørede brugernes HIV-status for at hjælpe med at “optimere” tjenesten.

Ud over at sælge på data villigt og bevidst, bruger mange virksomheder simpelthen ubeskyttet sikkerhed, som du kan læse i vores stykke om cyberkriminalitet. At sammensætte den uagtsomhed er naturligvis det faktum, at efter en sådan begivenhed mange virksomheder ikke ønsker at miste værdi, så skjul det faktum, at der skete noget – som Equifax gjorde. Dette er grunden til, at GDPR gør brudnotifikation en pligt, så folk ved, at deres data findes på markedet.

Sådanne eksempler alene kunne fylde en artikel på ti tusind ord, så lad det være tilstrækkeligt at sige, at det, der får Facebook-skandalen til at skille sig ud, er omfanget af shenanigans såvel som det faktum, at det er et sjældent eksempel på, at mainstream-medierne samler en overtrædelse af privatlivets fred Under alle omstændigheder er der masser af ærlige mennesker, der betaler prisen for disse jokers antics, men så igen, hvad ellers er nyt?

En privatlivslov med tænder

Så hvad er det nøjagtigt, der gør GDPR så speciel? Hvorfor ikke blot videresælge eksisterende privatlivslovgivning? EU er trods alt en af ​​de strengeste, når det gælder privatlivets fred, så du kan blive tilgivet for at undre dig over, hvad den store sag er.

Som det ofte er tilfældet med jordskælvende udviklinger, er der ingen iørefaldende enkelt sætning, der kan fange arten af ​​den privatlivsrevolution, der er overvejet i Bruxelles. Da vi altid kan lide en udfordring på Cloudwards.net-kontoret, vil vi give det et skud: EU søger grænserne for lovgivning ved at vedtage et sæt regler, der regulerer både anvendelsen og omfanget af privatlivets fred love.

Vi må indrømme, at vi er temmelig tilfredse med den.

Hvis vi går videre fra vores selv lykønskning laurbær, lad os nedbryde det lidt. Vi har allerede nævnt de absolut brutale bøder, som virksomheder vil blive udsat for, hvis de bliver fundet i strid med GDPR. Disse adskiller reglerne fra slap-on-the-wrist-fremgangsmåden, som de fleste lovgivere har taget. Hvor der i mange lande findes hårde love på papiret, er der i virkeligheden ingen chance for, at salg på data vil resultere i en reel straf. 

Reglen på fire procent eller tyve millioner tilbyder en reel afskrækkende virkning, forhåbentlig en, som kyndige advokater ikke vil kunne omgå for let. Interessant nok, hver gang et selskab bryder GDPR-reglerne og dataene fra endda en enkelt EU-borger er involveret, skal virksomheden dukke op for en europæisk dommer takket være et princip kaldet ekstraterritorialt anvendelighed.

Dette princip er også det, der har mange mennesker bange for, at regeringen overreagerer med GDPR: EU giver sig selv beføjelser over virksomheder uden for dens jurisdiktion, simpelthen fordi de tilfældigvis huser dataene fra EU-borgere.

Vi forstår selvfølgelig denne frygt og er enige med dem i en vis grad: der er masser af eksempler på, at regeringer ikke respekterer borgernes privatliv, fra U.S. Patriot Act til PRISM til UK’s Snooper’s Charter og den hollandske sleepwet. Men dette er separate spørgsmål, hvor regeringer går efter mistænkte terrorister, hvad enten disse bestræbelser er vildledt eller ej. GDPR handler om at beskytte alle mod spionage fra virksomheder og marketingfolk.

Faktum er, at der skulle være noget mellemgrund mellem den slags statskontrol, som GDPR foreslår, og noget mere laissez-faire i naturen. Imidlertid er selskabets grådighed vokset til sådanne højder, at de har polariseret mulighederne, og det eneste valg, der er tilbage til os, er EU’s tunge hånd eller den fuldstændige galskab fra, for eksempel, det amerikanske system for privatlivslovgivning (f.eks. Du er alene).

En af de taktikker, som store virksomheder bruger for at undvige alle former for regler, er blot at oprette butik uden for rækkevidde af strenge regler, eller i det mindste gøre det på papiret. Et godt eksempel, skønt mere økonomisk end privatlivsrelateret, er den dobbelt irske med en hollandsk sandwich, der lader blandt andre Apple og Google undgå at betale deres skatter.

Virksomheder er meget magtfulde og har dybe lommer, den eneste måde at sikre sig, at de overholder reglerne, er en slags ekstraterritorial lovgivning. I tilfælde af privatliv vil EU nu sørge for dette for sine borgere. Som vi sagde tidligere, vil det imidlertid være svært for nogen at adskille disse data fra alle andres, så på en måde har EU nu udpeget sig til værge for alles data.

Ret til at blive glemt

Så hvilke andre egenskaber har dette værgemål? Resten af ​​GDPR handler mest om vores rettigheder som mennesker, hvis data opbevares. For det første skal EU-borgere nu samtykke til, at deres data gemmes, og at samtykke kun kan gives, hvis de er blevet informeret tilstrækkeligt.

På en måde er dette klausulen, der vil fjerne forhindringer mere end noget andet, da det vil fjerne de vanvittige vilkår og betingelser, som vores forbrugere præsenteres for hver dag. I stedet for at spilde tid (76 arbejdsdage om året i henhold til en publikation) ved at læse al den arkane terminologi forventer EU nu, at virksomheder vil tilbyde klare og læsbare. Hvor nøjagtigt det vil blive bedømt, er uklart, men hey, det er bedre end intet.

En anden mekanisme, der vil forbedre vores samtykke over de data, der opbevares, er den såkaldte ret til adgang, der giver EU-borgere beføjelse til at anmode om, hvilke data der opbevares af enhver udbyder og anmode om, at de slettes ved hjælp af den nye “ret til sletning” , ”Også kendt som retten til at blive glemt, eller flyt den til en anden udbyder ved hjælp af portabilitetsklausulerne i GDPR.

Dette giver borgerne en stor grad af fleksibilitet: hvis du ikke har tillid til en bestemt udbyder, kan du ganske enkelt beslutte at ikke længere gemme dine data hos dem. Enten skal du flytte den til en anden, eller få den ødelagt helt. Dette vil være en komfort for dem, der bekymrer sig om en virksomheds integritet, enten hvad angår salg af data eller sikkerhed.

Selvom grænserne for retten til at blive glemt er en smule vage – i øjeblikket er der en retssag, der kører i Det Forenede Kongerige, der har dette nøjagtige spørgsmål på kæden – det fungerer godt for folk, der har lækket billeder eller information og ønsker, at beviset fjernes. Selvom det ikke er perfekt, har internettet en lang hukommelse, og cachelagrede filer på en fyres harddisk kan ikke slettes, det er en stor lettelse for folk, der har brug for det.

Ikke at alle disse mennesker er uskyldige nu: masser af svimlende forretningsfolk og skyggefulde politikere har også gjort brug af det. Selvom det næppe er retfærdigt, at de slipper for deres dag i den offentlige mening, frit for at sutte deres næste offer, vejer fordelene for de uskyldige efter vores mening op til den skade, et par blackguards vil gøre (selvom domstole i enkelte tilfælde har ignoreret højre).

Dækning af løse ender

Alt det ovenstående lyder godt, men enhver, der er bekendt med virksomhedsbearbejdninger, vil vide, at mange bittesmå fejl kan dækkes ved at kræve tekniske vanskeligheder eller andre praktiske, vanskeligt beviselige problemer. GDPR-lovgivningen sigter mod at omgå dette ved at implementere privatliv ved design, et koncept, der indeholder systemer, skal først og fremmest bygges med fortrolighed for folks data.

Dette lyder rart og vagt, for hvordan beviser du nogens intentioner? Artikel 23 i GDPR siger følgende: “Den registeransvarlige skal … gennemføre passende tekniske og organisatoriske foranstaltninger … på en effektiv måde … for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.” Det indrømmer vi ikke rigtig meget, indrømmer vi, men det er her, den næste interessante ændring kommer ind.

GDPR kræver også, at visse virksomheder – virksomheder, der basalt behandler følsomme data, så ikke hver eneste mor og pop-butik med en database – tildeler en databeskyttelsesansvarlig, hvis job grundlæggende er at sikre, at folks bit og byte er sikre. Det gør også livet lidt lettere for store virksomheder, da de kan få deres DPO’er til at håndtere al rapporteringspapir, snarere end at skulle håndtere hver af de regeringer, hvor de er baseret.

Afsluttende tanker

Og der har du det: vores tanker om den almindelige databeskyttelsesforordning. Selvom lovgivningen langt fra er perfekt og leveres med en masse papirarbejde, som verden er nu, ser det ud til, at vi enten lider under overregulering eller får vores data brugt som endnu en vare af grådige forretningsfolk og skyggefulde cyberkriminelle.

Vi håber, at denne artikel har ryddet lidt op og informeret dig om, hvorfor GDPR er en god ting. Selvom vores perspektiv er lidt farvet, føler vi, at dette nye sæt regler i balance vil vise sig at være gavnligt i sidste ende.

Hvis du vil vide mere om at være sikker online, kan du tjekke vores online guide til privatlivets fred. Hvis du vil dele din mening om GDPR, er du velkommen til at gøre det i kommentarerne herunder. Uanset hvad, tak fordi du læser og forbliver i sikkerhed.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me