Uusi GDPR-laki tulee voimaan tänään, 25. toukokuuta 2018, ja se kattaa tietosuojan ja yksityisyyden EU-kansalaisille. Se koskee myös monia muita maita eri tavoin ja koska kaikki tekniset jättiläiset ovat valtavia monikansallisia yrityksiä, se vaikuttaa paljon tavaroihin, joita käytät päivittäin.
Ongelma GDPR yrittää ratkaista: yritykset keräävät ja käyttävät henkilötietojasi väärin
Internetin kynnyksen jälkeen yritykset ovat keränneet mahdollisimman paljon tietoja kenelle tahansa. Näiden tietojen kerääminen on helppoa, joten ei ole mitään syytä, etteivät ne kerää.
Ongelmana on, että viime vuosina monet yritykset ovat jääneet kiinni, kun eivät suojaa - tai suoraan väärin - henkilökohtaisia tietojasi. Cambridge Analytica -skandaali, jossa tutkija käytti Facebook-tietokilpailua keräämään valtavia määriä tietoja miljoonista Facebook-käyttäjistä ja myi sen sitten konsulttiyritykselle, on vain viimeisin esimerkki. Viime vuonna Equifaxin hakkerointi oli erityisen huono, koska tiedot, jotka olivat vuotaneet, voitaisiin käyttää luottokorttien avaamiseen. Ja nämä ovat vain suuria skandaaleja. Useat yritykset ovat käyttäneet väärin tietojasi pienillä tavoilla, kuten myymällä ne kolmansien osapuolten mainostoimistoihin.
EU on ottanut hämärän kuvan tilanteesta ja käyttää GDPR: ää yrittäessään korjata sitä. Uuden lainsäädännön mukaan yritykset, jotka eivät suojaa kuluttajatietoja riittävästi tai käyttävät väärin sitä millään tavalla, joutuvat valtavia sakkoja.
Mitä pidetään henkilötietoina?
GDPR suojaa "henkilötietoja", mikä tarkoittaa "kaikkia yksilöityyn tai tunnistettavaan luonnolliseen henkilöön liittyvää tietoa" - ja se on melko laaja määritelmä. Todellisuudessa henkilökohtaiset tiedot sisältävät yleensä esimerkiksi seuraavia asioita:
- Henkilökohtaiset tiedot, kuten nimesi, osoitteesi, puhelinnumerosi, sosiaaliturvatunnuksesi jne.
- Fyysiseen ulkonäköön ja käyttäytymiseen liittyvät tiedot, kuten hiusten väri, rotu ja korkeus.
- Tietoja koulutuksesta ja työhistorioista, kuten palkasta, korkeakoulututkinnosta, GPA: sta, verotunnistuksesta jne.
- Kaikki lääketieteelliset tai geneettiset tiedot.
- Asioita, kuten puheluhistoriasi, yksityisiä viestejäsi tai geo-sijaintitietoja.
Tämä ei ole täydellinen luettelo. Avain on, että kaikki tiedot, jotka tekevät sinusta tunnistettavia laskuja. Joissakin olosuhteissa hiustesi väri saattaa riittää. Toisissa, jopa koko nimesi - jos se on jotain yleistä kuten Robert Smith - ei ehkä tee tunnistetta.
Mitä GDPR tekee?
GDPR antaa EU: n asukkaille, jotka ovat keränneet henkilötietonsa, nimeltään "rekisteröidyt" laissa kahdeksan oikeudet. He ovat:
- Oikeus saada tietoa: Jos yritys kerää tietoja, heidän on kerrottava, mitä tietoja kerätään, miksi sitä kerätään, mitä sitä käytetään, kuinka kauan se säilytetään ja jos se jaetaan kolmansien osapuolten kesken. Tätä tietoa ei voi haudata syvälle palveluehtoihin, joita kukaan ei lue; sen on oltava tiivis ja selkeä kieli.
- Oikeus käyttää: Jos he sitä pyytävät, kaikki organisaatiot, joilla on rekisteröityä henkilötietoja, on toimitettava heille kuukauden kuluessa.
- Oikeus oikaisuun: Jos rekisteröity havaitsee, että yrityksellä on virheellisiä tietoja, hän voi pyytää päivittämistä. Yrityksillä on yhden kuukauden noudattaminen.
- Oikeus tyhjentää: Rekisteröijä voi pyytää, että yritys poistaa tiedot, joita heillä on tietyissä olosuhteissa. Esimerkiksi jos tietoja ei enää tarvita tai he poistavat heidän suostumuksensa käytettäväksi.
- Oikeus rajoittaa käsittelyä: Jos organisaatio ei voi poistaa rekisteröidyn tietoja - esimerkiksi koska ne tarvitsevat sitä oikeusturvaan - niin he voivat pyytää, että yritys rajoittaa sen käyttöä.
- Oikeus tietojen siirrettävyyteen: Rekisteröidyt henkilöt ovat oikeutettuja ottamaan henkilötietonsa yhdestä palvelusta ja käyttämään sitä toisten kanssa.
- Oikeus vastustaa: Jos tietoja kerätään ilman suostumusta, mutta lailliset liikesuhteet, yleinen etu tai viranomainen, rekisteröity voi vastustaa sitä. Järjestön on lopetettava tietojen käsittely, kunnes se voi osoittaa, että sillä on perustellut syyt siihen.
- Automaattiseen päätöksentekoon liittyvät oikeudet mukaan lukien profilointi: GDPR ottaa käyttöön suojalausekkeita, jotta yksilöt voivat vastustaa tai saada selitystä automatisoiduista päätöksistä, jotka vaikuttavat heihin ja heidän tietoihinsa.
Toinen iso osa säännöksistä on se, että yrityksillä on oltava lailliset syyt tietojen keräämiseen tai käsittelyyn. Yksi laillisista syistä on, että he ovat saaneet suostumuksen käyttää sitä tiettyyn tarkoitukseen, mutta toiset haluavat, että he ovat velvollisia noudattamaan lakisääteisiä velvoitteita tai että kerääminen on yleisen edun mukaista.
Kuten näette, EU: n kansalaisille lain mukaan myönnetyt oikeudet ovat melko laaja ja pakottavat yrityksiä, jotka keräävät tietoja heiltä todella ajattelemaan, mitä he keräävät ja miksi.Vanhat päivät vain keräävät kaiken, mitä he voivat ja toivovat löytävänsä sen myöhemmin, ovat menneet, vähiten Euroopassa. Siksi melkein kaikki palvelut, jotka olet koskaan antanut sähköpostiosoitteesi, ovat ottamassa yhteyttä sinuun.
Mikä on paljon yrityksiä, on se, että sanktiot, jotka eivät ole BKT: n mukaisia, ovat melko ankaria. Järjestöä voidaan rangaista enintään 20 miljoonalla eurolla tai 4 prosentilla maailmanlaajuisesta vuotuisesta liikevaihdosta (kumpi on suurempi) lakien mukaan. Amatööreille tai Googlelle tykkäämiseen tämä merkitsee miljardeja dollareita mahdollisista sakkaroista, jos ne vääristävät EU: n kansalaisia.
Mitä GDPR tarkoittaa amerikkalaisille?
Koko artikkelissa keskitymme siihen, mitä oikeuksia BPR antaa EU: n kansalaisille yksinkertaisesta syystä, että se on EU: n lainsäädäntö. Se ei todellakaan koske Yhdysvaltojen kansalaisia, ellei he asu myös EU: ssa. Syy, että saat kaikki sähköpostit, on se, että useimmilla yrityksillä ei ole mitään keinoa kertoa, kuka on EU: n asuva ja kuka ei ole.
Tämä ei kuitenkaan tarkoita, että GDPR voittanut vaikuttaa sinuun. Se aiheutti paljon yrityksiä arvioimaan uudelleen, miten kuluttajat käsittelevät kuluttajia, ja jotkut niistä ovat alkaneet puhua siitä, että GDPR-oikeudet siirtyvät EU: n ulkopuolelle. Ja se on myös yksinkertaisempi, jotta yritykset voisivat noudattaa kaikkia sääntöjä kaikille asiakkaille monissa tapauksissa.
Esimerkiksi Apple on käynnistänyt uuden tietosuojaportaalin, jossa ihmiset voivat ladata kaikki henkilökohtaiset tietonsa tai poistaa tilinsä, toisin sanoen tarjoamalla ihmisille oikeudet käyttää ja poistaa niitä. Toistaiseksi vain EU-pohjaiset tilit voivat käyttää sitä, mutta Apple aikoo siirtää sitä maailmanlaajuisesti lähikuukausina. Samalla tavoin Facebook moitelee antamasta samoja GDPR-suojauksia joillekin EU: n ulkopuolisille käyttäjille.