Yleinen tietosuoja-asetus (GDPR) on uusi Euroopan unionin laki, joka tulee voimaan tänään, ja siksi olet saanut jatkuvasti sähköposteja ja ilmoituksia tietosuojakäytäntöjen päivityksistä. Joten miten tämä vaikuttaa sinuun? Tässä sinun on tiedettävä.
Uusi GDPR-laki tulee voimaan tänään, 25. toukokuuta 2018, ja se kattaa EU: n kansalaisten tietosuojan ja yksityisyyden, mutta sitä sovelletaan myös moniin muihin maihin eri tavoin, ja koska kaikki tekniset jättiläiset ovat valtavia monikansallisia yrityksiä , se vaikuttaa moniin tavaroihin, joita käytät päivittäin.
GDPR: n ongelma yritetään ratkaista: yritykset keräävät ja käyttävät väärin henkilökohtaisia tietojasi
Internetin alusta lähtien yritykset ovat keränneet mahdollisimman paljon tietoja kenestä tahansa. Näiden tietojen kerääminen on helppoa, joten heillä ei ole syytä olla keräämättä niitä.
Ongelmana on, että muutaman viime vuoden aikana monet yritykset ovat kiinni jääneet suojaamasta - tai suorastaan väärinkäyttämättä - henkilökohtaisia tietojasi. Cambridge Analytican skandaali , jossa tutkija keräsi Facebook-tietokilpailun avulla keräten valtavia määriä tietoja miljoonista Facebook-käyttäjistä ja myi ne sitten konsulttiyritykselle, on vain viimeisin esimerkki. Viime vuoden Equifax-hakkerointi oli erityisen huono, koska vuotaneita tietoja voitiin käyttää luottokorttien avaamiseen . Ja nämä ovat vain suuria skandaaleja. Monet yritykset ovat käyttäneet tietojasi väärin pienemmillä tavoilla, kuten myymällä niitä kolmansille osapuolille.
EU on ottanut hämärän näkemyksen tilanteesta ja pyrkii korjaamaan tilanteen GDPR: n avulla. Uusien lakien mukaan yrityksille, jotka eivät suojaa riittävästi kuluttajatietoja tai käyttävät sitä väärin millään tavalla, kohdistuu valtavia sakkoja.
Mitä pidetään henkilötietoina?
GDPR suojaa "henkilötietoja", mikä tarkoittaa tässä "mitä tahansa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevaa tietoa" - ja se on melko laaja määritelmä. Todellisuudessa henkilötiedot sisältävät yleensä esimerkiksi:
- Henkilötiedot, kuten nimesi, osoitteesi, puhelinnumerosi, sosiaaliturvatunnuksesi ja niin edelleen.
- Fyysiseen ulkonäköön ja käyttäytymiseen liittyvät tiedot, kuten hiusten väri, rotu ja pituus.
- Tiedot koulutuksestasi ja työhistoriastasi, kuten palkka, korkeakoulututkinto, GPA, verotunnus ja niin edelleen.
- Kaikki lääketieteelliset tai geneettiset tiedot.
- Tällaisia asioita ovat puheluhistoriasi, yksityisviestisi tai maantieteelliset sijaintitietosi.
Tämä on kaukana täydellisestä luettelosta. Tärkeintä on, että kaikki tiedot, jotka tekevät sinusta tunnistettavan, lasketaan. Tietyissä olosuhteissa hiusväri voi olla riittävä. Joissakin tapauksissa edes koko nimesi - jos se on jotain yleistä, kuten Robert Smith - ei välttämättä tee sinusta tunnistettavissa.
Mitä GDPR tekee?
GDPR antaa EU: n asukkaille, joiden henkilötietoja kerätään - laissa "rekisteröidyiksi" - kahdeksan oikeutta. He ovat:
- Oikeus saada tietoa: Jos yritys kerää tietoja, heidän on kerrottava rekisteröidyille, mitä kerätään, miksi niitä kerätään, mihin sitä käytetään, kuinka kauan niitä säilytetään ja jos niitä jaetaan kolmansille osapuolille. Näitä tietoja ei voida haudata syvälle palveluehtoihin, joita kukaan ei lue; sen on oltava ytimekäs ja selkeällä kielellä.
- Oikeus tutustua: Jos organisaatio, jolla on rekisteröityä koskevia henkilötietoja, pyytää sitä, heidän on toimitettava ne heille kuukauden kuluessa.
- Oikeus oikaisuun: Jos rekisteröity tietää, että yrityksellä on virheellisiä tietoja, hän voi pyytää tietojen päivittämistä. Yrityksillä on yksi kuukausi noudattaa vaatimuksia.
- Oikeus tietojen poistamiseen: Rekisteröity voi pyytää yritystä poistamaan kaikki hallussaan olevat tiedot tietyissä olosuhteissa. Esimerkiksi, jos tietoja ei enää tarvita tai ne peruuttavat suostumuksensa niiden käyttöön.
- Oikeus rajoittaa käsittelyä: Jos organisaatio ei voi poistaa rekisteröityjen tietoja - esimerkiksi koska he tarvitsevat niitä oikeudenkäyntejä varten -, he voivat pyytää yritystä rajoittamaan niiden käyttöä.
- Oikeus tietojen siirrettävyyteen: Rekisteröidyllä on oikeus ottaa henkilökohtaiset tietonsa yhdestä palvelusta ja käyttää sitä toisen kanssa.
- Oikeus vastustaa: Jos tietoja kerätään ilman suostumusta, mutta oikeutettujen liike-etujen vuoksi, yleisen edun nimissä tai viranomaisen toimesta, rekisteröity voi vastustaa sitä. Organisaation on sitten lopetettava tietojen käsittely, kunnes ne voivat todistaa, että heillä on siihen perustellut syyt.
- Automaattiseen päätöksentekoon liittyvät oikeudet, mukaan lukien profilointi: GDPR ottaa käyttöön suojatoimenpiteitä, jotta yksilöt voivat vastustaa tai saada selityksen automatisoiduista päätöksistä, jotka vaikuttavat heihin ja heidän tietoihinsa.
Toinen suuri osa säännöksistä on, että yrityksillä on oltava laillinen syy kerätä tai käsitellä tietoja. Yksi laillisista syistä on, että he ovat saaneet suostumuksen käyttää sitä tiettyyn tarkoitukseen, mutta on muitakin kuin he tarvitsevat sitä laillisten velvoitteiden noudattamiseksi tai että sen kerääminen on yleisen edun mukaista.
Kuten näette, EU: n asukkaille lain nojalla myönnetyt oikeudet ovat melko laajoja ja pakottavat heiltä tietoja keräävät yritykset miettimään, mitä he keräävät ja miksi. Vanhat päivät, joissa kerättiin vain kaikki, mitä he voisivat, ja toivoen löytävänsä sen myöhemmin, ovat menneet - ainakin Euroopassa. Siksi melkein jokainen palvelu, jolle olet koskaan antanut sähköpostiosoitteesi, ottaa sinuun yhteyttä.
Paljon yrityksiä on herättänyt, että seuraamukset siitä, että GDPR-vaatimuksia ei noudateta, ovat melko ankaria. Organisaatiolle voidaan lain mukaan määrätä sakkoja enintään 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta (kumpi on suurempi). Amazonin tai Googlen kaltaisille tämä on miljardeja dollareita mahdollisia sakkoja, jos ne käsittelevät väärin EU: n asukkaiden tietoja.
Mitä GDPR tarkoittaa amerikkalaisille?
Tässä artikkelissa olemme keskittyneet siihen, mitä oikeuksia GDPR antaa EU: n asukkaille siitä yksinkertaisesta syystä, että se on EU: n laki. Se ei todellakaan koske Yhdysvaltojen kansalaisia, elleivät he asu myös EU: ssa. Syy siihen, että saat kaikki sähköpostit, on se, että useimmilla yrityksillä ei ole tapaa kertoa kuka on EU: n kansalainen ja kuka ei.
Tämä ei kuitenkaan tarkoita, ettei GDPR vaikuta sinuun. Se on saanut monet yritykset arvioimaan uudelleen, miten ne käsittelevät kuluttajatietoja, ja jotkut niistä ovat alkaneet puhua GDPR-oikeuksien siirtämisestä EU: n ulkopuolisille asukkaille. Ja yrityksille on myös yksinkertaisempaa noudattaa yhtä sääntöä kaikille asiakkaille monissa tapauksissa.
Esimerkiksi Apple on käynnistänyt uuden tietosuojaportaalin missä ihmiset voivat ladata kaikki henkilökohtaiset tietonsa tai poistaa tilinsä, toisin sanoen tarjoamalla ihmisille käyttöoikeudet ja poistamisoikeudet. Toistaiseksi vain EU-pohjaiset tilit voivat käyttää sitä, mutta Apple aikoo ottaa sen käyttöön maailmanlaajuisesti seuraavien kuukausien aikana . Similarly, Facebook is mytinä siitä, että samat GDPR-suojaukset annetaan joillekin käyttäjille EU: n ulkopuolella .
