General Data Protection Regulation (GDPR)

Hva er den generelle databeskyttelsesforordningen (GDPR)?

General Data Protection Regulation (GDPR) er et juridisk rammeverk som setter retningslinjer for innsamling og behandling av personopplysninger fra enkeltpersoner som bor i EU (EU). Siden forordningen gjelder uavhengig av hvor nettsteder er basert, må den følges av alle nettsteder som tiltrekker europeiske besøkende, selv om de ikke spesifikt markedsfører varer eller tjenester til innbyggere i EU.

GDPR krever at besøkende i EU skal gis en rekke dataavsløringer. Nettstedet må også ta skritt for å legge til rette for slike EU-forbrukerrettigheter som en rettidig varsling i tilfelle personopplysninger brytes. Forordningen ble vedtatt i april 2016, og trådte i kraft i mai 2018, etter en toårig overgangsperiode.

Kundeservicekrav i GDPR

I henhold til reglene må besøkende varsles om data som nettstedet samler inn fra dem og uttrykkelig samtykke til denne informasjonsinnhentingen, ved å klikke på en godta-knapp eller annen handling.( Dette kravet forklarer i stor grad den allestedsnærværende tilstedeværelsen av avsløringer om at nettsteder samler inn informasjonskapsler "—små filer som inneholder personlig informasjon som nettstedinnstillinger og preferanser.)

Nettsteder må også varsle besøkende i tide dersom noen av deres personlige data som holdes av nettstedet brytes. Disse EU-kravene kan være strengere enn de som kreves i jurisdiksjonen der nettstedet er lokalisert.

Pålagt er også en vurdering av nettstedets datasikkerhet, og om en dedikert databeskyttelsesansvarlig (DPO) må ansettes eller en eksisterende medarbeider kan utføre denne funksjonen .

Informasjon om hvordan du kontakter databeskyttelsesansvarlig og andre relevante ansatte må være tilgjengelig slik at besøkende kan utøve sine EU-datarettigheter, som også inkluderer muligheten til å få deres tilstedeværelse på nettstedet slettet, blant andre tiltak. ( Naturligvis må nettstedet også legge til ansatte og andre ressurser for å være i stand til å utføre slike forespørsler.)

Andre regler og mandater i den generelle databeskyttelsesforordningen (GDPR)

Som ytterligere beskyttelse for forbrukere krever GDPR også at all personlig identifiserbar informasjon (PII) som nettsteder samler inn, enten anonymiseres (gjengitt anonymt, som begrepet tilsier) eller pseudonymisert (med forbrukerens identitet erstattet med et pseudonym). bedrifter til å gjøre noe mer omfattende dataanalyse, for eksempel å vurdere gjennomsnittlig gjeldsgrad for kundene i en bestemt region – en beregning som ellers kan være utenfor de opprinnelige formålene med data samlet inn for å vurdere kredittverdigheten for et lån.

GDPR påvirker data utover det som samles inn fra kunder. Mest bemerkelsesverdig, kanskje, gjelder forskriften for menneskelige ressursers registre over ansatte .

Kontroverser knyttet til GDPR

GDPR har vakt kritikk fra enkelte hold. Kravet om å utnevne databeskyttelsesansvarlige, eller rett og slett å vurdere behovet for dem, sier noen, påfører enkelte selskaper en unødig administrativ byrde. Noen klager også over at retningslinjene er for vage om hvordan man best kan håndtere ansattes data.

I tillegg kan data ikke overføres til et annet land utenfor EU, med mindre mottakerselskapet garanterer samme grad av beskyttelse som EU krever. Dette har ført til klager på kostbare forstyrrelser i forretningspraksis.

Det er en ytterligere bekymring for at kostnadene knyttet til GDPR vil øke over tid, delvis på grunn av det økende behovet for å utdanne både kunder og ansatte om databeskyttelsestrusler og løsninger. Det er også skepsis til hvordan databeskyttelsesbyråer over hele EU og utover kan samordne håndhevelsen og tolkningen av regelverket, og dermed sikre like konkurransevilkår etter hvert som GDPR trer i full effekt.