Mikä on GDPR n tietosuojalaki ja miksi sinun pitäisi huolehtia?
Yleinen tietosuoja-asetus (GDPR) on uusi Euroopan unionin lainsäädäntö, joka tulee voimaan tänään, ja se on syy, miksi olet saanut pysyviä sähköposteja ja ilmoituksia tietosuojakäytäntöjen päivityksistä. Miten tämä vaikuttaa sinuun? Tässä on mitä sinun tarvitsee tietää.
Uusi GDPR-laki tulee voimaan tänään, 25. toukokuuta 2018, ja se kattaa EU: n kansalaisten tietosuojan ja yksityisyyden, mutta sitä sovelletaan myös moniin muihin maihin eri tavoin, ja koska kaikki tekniset jättiläiset ovat valtavia monikansallisia yrityksiä , se vaikuttaa paljon päivittäin käyttämääsi tavaraa.
Ongelma GDPR yrittää ratkaista: Yritykset keräävät ja käyttävät henkilökohtaisia tietojasi väärin
Internetin kynnyksestä lähtien yritykset ovat keränneet mahdollisimman paljon tietoja kuka tahansa. On helppo kerätä nämä tiedot, joten ei ole mitään syytä, etteivät ne pidä sitä.
Ongelmana on, että viime vuosina on paljon yrityksiä pyydetty suojaamaan henkilökohtaisia tietojasi tai väärin väärin. Cambridge Analytican skandaali, jossa tutkija käytti Facebook-tietovisaa kerätä valtavia määriä tietoa miljoonista Facebook-käyttäjistä ja myi sen sitten konsulttiyritykselle, on vain viimeisin esimerkki. Viime vuonna Equifax-häkki oli erityisen huono, koska vuotaneet tiedot saatiin käyttää luottokorttien avaamiseen. Ja ne ovat vain suuria skandaaleja. Monet yritykset ovat käyttäneet väärin tietojasi pienemmillä tavoilla, kuten myymällä niitä kolmannen osapuolen mainosyrityksille.
EU on ottanut hämärän kuvan tilanteesta ja käyttää GDPR: tä yrittäessään korjata sitä. Uusien lakien mukaan yritykset, jotka eivät suojaa riittävästi kuluttajatietoja tai käyttävät niitä väärin, joutuvat valtaviin sakkoihin.
Mitä henkilötietoja pidetään?
GDPR suojaa "henkilötietoja", mikä tarkoittaa "mitä tahansa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevaa tietoa", ja se on melko laaja määritelmä. Todellisuudessa henkilötiedot sisältävät yleensä sellaisia asioita:
- Biografiset tiedot, kuten nimi, osoite, puhelinnumero, sosiaaliturvatunnus ja niin edelleen.
- Fyysistä ulkonäköäsi ja käyttäytymistäsi koskevat tiedot, kuten hiusten väri, rotu ja korkeus.
- Tietoa koulutuksestasi ja työhistoriastasi, kuten palkat, korkeakoulututkinto, GPA, verotunnus ja niin edelleen.
- Kaikki lääketieteelliset tai geneettiset tiedot.
- Esimerkiksi puheluhistoriasi, yksityiset viestit tai maantieteellisen sijainnin tiedot.
Tämä on kaukana täydellisestä luettelosta. Tärkeintä on, että kaikki tiedot, jotka saavat sinut tunnistettaviksi. Joissakin olosuhteissa hiusten väri voi riittää. Toisissa tapauksissa jopa täydellinen nimi, jos se on jotain yleistä, kuten Robert Smith, ei ehkä tee sinut tunnistettavaksi.
Mitä GDPR tekee?
GDPR antaa EU: n asukkaille, joilla on henkilötietojaan, nimeltään "rekisteröidyt", kahdeksan oikeutta. He ovat:
- Oikeus saada tietoa: Jos yritys kerää tietoja, heidän on kerrottava rekisteröidyille, mitä tietoja kerätään, miksi sitä kerätään, mitä sitä käytetään, kuinka kauan se pidetään, ja jos se jaetaan kolmansille osapuolille. Tätä tietoa ei voi haudata syvälle palvelussuhteissa, eikä kukaan lukisi; sen on oltava tiivis ja selkeä.
- Oikeus tutustua: Jos he pyytävät sitä, organisaation, jolla on henkilötietoja, on annettava ne kuukauden kuluessa.
- Oikeus oikaisuun: Jos rekisteröity havaitsee, että yrityksellä on virheellisiä tietoja, ne voivat pyytää, että se päivitetään. Yrityksillä on yhden kuukauden määräaika.
- Oikeus poistaa: Tietosuoja voi pyytää, että yritys poistaa tietyt olosuhteet, joissa heitä pidetään. Esimerkiksi jos tietoja ei enää tarvita tai ne peruuttavat suostumuksensa käytettäväksi.
- Oikeus rajoittaa käsittelyä: Jos organisaatio ei pysty poistamaan rekisteröidyn tietoja, esimerkiksi siksi, että he tarvitsevat sitä oikeudellisessa tapauksessa, he voivat pyytää yritystä rajoittamaan sen käyttöä.
- Oikeus tietojen siirrettävyyteen: Rekisteröidyllä on oikeus ottaa henkilökohtaisia tietoja yhdestä palvelusta ja käyttää sitä toisessa.
- Oikeus vastustaa: Jos tietoja kerätään ilman suostumusta, vaan oikeutettujen kaupallisten etujen, yleisen edun tai viranomaisen toimesta, rekisteröity voi vastustaa sitä. Sen jälkeen organisaation on lopetettava tietojen käsittely, kunnes he voivat osoittaa, että niillä on perusteltu syy siihen.
- Automaattiseen päätöksentekoon liittyvät oikeudet, mukaan lukien profilointi: GDPR ottaa käyttöön suojatoimenpiteitä, jotta yksilöt voivat vastustaa heitä ja heidän tietojaan koskevia automatisoituja päätöksiä tai saada niitä koskevia selityksiä.
Toinen suuri osa asetuksista on, että yrityksillä on oltava laillinen syy tietojen keräämiseen tai käsittelyyn. Yksi laillisista syistä on se, että he ovat saaneet suostumuksensa käyttää sitä tiettyyn tarkoitukseen, mutta on muitakin kuin ne tarvitsevat sitä, jotta ne noudattavat oikeudellisia velvoitteita tai että sen kerääminen on yleisen edun mukaista.
Kuten näette, EU: n asukkaille lain nojalla annetut oikeudet ovat melko laajat ja pakottavat yritykset, jotka keräävät heiltä tietoja, todella miettimään, mitä he keräävät ja miksi. Vanhat päivät, jotka vain keräävät kaiken, mitä he pystyvät ja toivovat, että he saavat sen käyttöön myöhemmin, ovat menneet ainakin Euroopassa. Siksi melkein jokainen palvelu, jonka olet koskaan antanut sähköpostiosoitteesi, on yhteydessä sinuun.
Mikä on paljon yrityksiä, on se, että seuraamukset siitä, että GDPR ei ole yhteensopiva, ovat melko ankarat. Organisaatiolle voidaan määrätä sakkoja 20 miljoonan euron tai 4 prosentin vuotuisesta liikevaihdosta (riippuen siitä, kumpi on suurempi). Jos kyseessä on Amazon tai Google, tämä on miljardeja dollareita mahdollisia sakkoja, jos ne väärin EU: n asukkaiden tietoja.
Mitä GDPR tarkoittaa amerikkalaisille?
Tässä artikkelissa olemme keskittyneet siihen, mitä oikeuksia GDPR antaa EU: n asukkaille sillä yksinkertaisella syyllä, että se on EU: n lainsäädäntö. Se ei todellakaan koske amerikkalaisia kansalaisia, ellei he asu myös EU: ssa. Syy, miksi saat kaikki sähköpostit, on se, että useimmilla yrityksillä ei ole mitään keinoa kertoa kuka on EU: n asukas ja kuka ei.
Tämä ei kuitenkaan tarkoita, että GDPR ei vaikuta sinuun. Se on aiheuttanut paljon yrityksiä uudelleenarvioimaan, miten he käsittelevät kuluttajatietoja, ja jotkut heistä ovat alkaneet puhua GDPR-oikeuksien siirtämisestä EU: n ulkopuolisille asukkaille. Yrityksille on myös yksinkertaisempaa valvoa kaikkia sääntöjä kaikille asiakkaille monissa tapauksissa.
Esimerkiksi Apple on julkaissut uuden yksityisyyden portaalin, jossa ihmiset voivat ladata kaikki henkilökohtaiset tiedot tai poistaa heidän tilinsä, toisin sanoen tarjota käyttäjille käyttöoikeudet ja poistot. Tällä hetkellä vain EU: n tilit voivat käyttää sitä, mutta Apple aikoo levittää sen maailmanlaajuisesti lähikuukausina. Samoin Facebook on mykistämässä antaa samoille GDPR-suojauksille joillekin käyttäjille EU: n ulkopuolella.