Den Europæiske Union har en ny lov om bøgerne til beskyttelse af personoplysninger. Det er den generelle databeskyttelsesforordning, mere almindeligt kaldet GDPR. Denne fredag træder i kraft i EU's 28 medlemslande.
Loven ændrer reglerne for virksomheder, der indsamler, gemmer eller behandler store mængder information om indbyggere i EU, hvilket kræver større åbenhed om, hvilke data de har, og hvem de deler det med.
Det betyder dig, Facebook.
Det betyder også, at ethvert selskab med en digital tilstedeværelse i EU (som i øjeblikket stadig omfatter Det Forenede Kongerige) bliver nødt til at overholde loven eller stå over for stejle sanktioner.
Fristen for at overholde loven har været truende i to år, lige siden Europa-Parlamentet vedtog det i april 2016. Da Cambridge Analytica-skandalen på Facebook opstod i marts, fandt privatlivets advokater et iøjnefaldende eksempel på, hvorfor internetbrugere måske vil have mere kontrol over hvem der har adgang til deres data.
Jeg tror GDPR generelt vil være et meget positivt skridt for internettet. Facebook CEO Mark ZuckerbergGDPR kom op flere gange under Facebook CEO Mark Zuckerbergs vidnesbyrd før den amerikanske kongres i april, og det var et stort fokus tirsdag, da medlemmer af Europa-Parlamentet satte spørgsmålstegn ved Zuckerberg i Bruxelles. EU-embedsmænd sagde, at de ikke var tilfredse med Facebook CEOens svar på spørgsmål om GDPR, og han lovede at følge op med svar skriftligt.
"Jeg tror GDPR generelt vil være et meget positivt skridt for internettet", fortalte Zuckerberg amerikanske lovgivere og diskuterede Facebooks planer om at stramme datapolitikkerne, beskytte brugerne mod yderligere lækager og blive mere gennemsigtige om, hvem der reklamerer for websted.
Det er ikke bare husstandens navne på internettet som Facebook, der skal overholde. Sundhedsplejeudbydere, forsikringsselskaber, banker og andre virksomheder, der beskæftiger sig med følsomme personoplysninger, vil også være på krogen. Derfor bliver din indbakke oversvømmet med opdaterede privatlivspolitikker.
GDPR vil have en væsentlig indflydelse på vores online fodspor og hvordan de apps og tjenester, vi bruger, beskytter eller udnytter dem. Her er hvad du behøver at vide.
Læs: EU for at undersøge misbrug af Facebook og Cambridge Analytica
Hvad er GDPR?
Den generelle databeskyttelsesforordning er en lovende lov, der giver beboere i EU større kontrol over deres personoplysninger og søger at præcisere regler og ansvar for online-tjenester med europæiske brugere. Den erstatter EU's tidligere lovgivning om databeskyttelse, som blev vedtaget i 1995, og gør nogle dramatiske ændringer i eksisterende konventioner.
Forordningen udvider omfanget af, hvad virksomheder skal overveje personoplysninger, og det kræver, at de nøje følger de data, de har gemt på EU-borgere. Hvis en person i EU ønsker, at et firma skal slette sine data, skal du sende kopier af dataene eller rette en fejl i de data, virksomhederne skal overholde.
Loven går endnu længere end det. EU-borgere kan nu gøre indsigelse mod bestemte måder, virksomheder bruger deres data på, idet de siger, at de ikke har noget imod, hvis et firma holder dataene, så længe det holder op med at bruge informationen til et bestemt formål.
Derudover kræver loven, at virksomhederne skal underrette brugere inden for 72 timer efter et brud på data - noget meget få virksomheder gør i øjeblikket. For eksempel brugt virksomheden i løbet af Equifax-bruddet, der udsatte de personlige oplysninger fra millioner af mennesker i USA og ud over uger, at stoppe angrebet og derefter planlægge, hvordan man skal klare skaden, inden den informeres offentligheden.
Hvordan vil EU håndhæve GDPR?
Hvert EU-medlemsland vil have sin egen håndhævelsesmekanisme, med en GDPR-vejleder pr. Land.
Beboere kan klage til det styrende organ i deres respektive land. Virksomheder, der er fundet i strid med loven, vil blive udsat for bøder, der kan være meget stejle. Den maksimale bøde for en GDPR-overtrædelse er 20 mio. Euro eller 4 procent af virksomhedens årlige globale omsætning fra året før, alt efter hvad der er højere.
Hvornår træder GDPR i kraft?
Fredag. Forordningen blev ratificeret i 2016, og organisationerne fik en toårig "gennemførelsesperiode" for at forberede. Denne frist ophører den 25. maj 2018, når håndhævelsen begynder på alvor.
Gælder denne lov kun for virksomheder med hjemsted i EU?
Nej - og det er derfor, det er store internationale nyheder. GDPR gælder for enhver organisation, der samler, behandler, styrer eller lagrer dataene fra de europæiske borgere. Dette omfatter de fleste større onlinetjenester og virksomheder, der indsamler, behandler, styrer eller gemmer data. På grund af dette indstiller GDPR i det væsentlige en ny global standard for databeskyttelse.
På fredag stoppede flere nyhedswebsteder baseret i USA, der opererer i Europa, og nogle siger, at de søger måder at gå online igen i EU-lande.
Hvilke slags data beskytter GDPR?
Forordningen gælder for en bred vifte af personoplysninger, herunder en persons navn og offentlige id-numre. Det beskytter også oplysninger, der kan vise en persons aktiviteter både online og i den virkelige verden. Det omfatter placeringsoplysninger, samt IP-adresser, cookies og andre data, der gør det muligt for virksomheder at spore brugere, når de surfer på internettet.
Hvordan påvirker dette Facebook og andre sociale medier?
Mange store onlinetjenester og sociale medier opdaterer deres privatlivspolitik og servicevilkår for at forberede den nye lovgivning. Facebooks svar er sikker på at blive nøje undersøgt af europæiske reguleringsmyndigheder i betragtning af Cambridge Analytica-skandalen samt tidligere bekymringer over virksomhedens dataindsamling. Østrigs privatlivsforkæmpere indgav klager fredag den første dag, hvor GDPR trådte i kraft mod Google og Facebook, samt Instagram og WhatsApp (begge ejet af Facebook).
Disse omfatter skræddersyet i 2007 over selskabets kontroversielle Beacon-reklameprogram, der sender brugeraktivitet på partnerwebsteder. Og glem ikke brugeren oprør, når Facebook og dets datterselskab Instagram hævdede at eje brugerprofildata og fotos. GDPR gør det meget klart, at disse aktiviteter ikke er i orden.
I sit vidnesbyrd under en fælles høring af senatets dommer- og handelsudvalg den 10. april udtalte Zuckerberg sin støtte "i princippet" for en GDPR-lignende opt-in-standard for brugere, før de opgiver deres data - men han gjorde ikke begå, tilføje "detaljer sagen." (Zuckerbergs notater, som han forlod åben i en kort pause, indeholdt en advarsel: "Sig ikke, at vi allerede gør, hvad GDPR kræver.")
Læs: Zuck til Kongressen: Jeg glæder mig over regulering - hvis det er den rigtige regulering
Hvordan vil dette påvirke mig, en ikke-EU-borger?
Facebook, Microsoft, Twitter, Apple og andre har alle tilbudt brugere uden for EU nogle yderligere rettigheder over deres data.
Men disse rettigheder har ikke retskraft bag dem, hvilket betyder, at du ikke kan klage over Microsoft for at overtræde GDPR, hvis du ikke er bosiddende i EU. Mens du kun nyder disse rettigheder, så længe et firma siger, at du gør det, viser det sig, at de europæiske regler omformulerer måden, som store virksomheder anvender brugerdata på.
Den anden måde, der påvirker dig, er med spærringen af opdateringer om privatlivspolitik, som du sandsynligvis har modtaget i løbet af de seneste måneder. Mange virksomheder udarbejdede nye politikker for beskyttelse af privatlivets fred forud for GDPRs ikrafttræden, og de fortalte dig om det hele på samme tid.
Læs: Sådan slettes din Facebook-konto
Kunne EU fin Facebook for skitserede ting, det gjorde i fortiden?
Synes ikke. I et interview med Bloomberg sagde EU-justitiekommissær Vera Jourova, at de nye GDPR-regler "ikke kan anvendes i denne [Cambridge Analytica-skandale], fordi der ikke er mulighed for tilbagevirkende kraft."
Hvordan påvirker reguleringen hack og brud?
GDPR kræver virksomheder, der har mistet kontrollen over kundedata, eller det har været hacket, at underrette brugere inden for 72 timer. Det er en af de regler, der bærer maksimumsstraffen. For eksempel, hvis Facebook blev konstateret at have overholdt det, kunne det være ansvarligt for en $ 1, 6 mia. Straf (baseret på sin årlige omsætning på $ 40 mia. I 2016).
Er der særlige beskyttelser for mindreårige?
GDPR kræver, at virksomheder og organisationer får parental samtykke til at behandle personoplysninger for børn under 16 år.
CNET Daily News
Få dagens top nyheder og anmeldelser indsamlet for dig.
Har USA noget juridisk svarende til GDPR?
Nej. De fleste stater har deres egne love om databrud og underretningskrav, og de fleste gælder kun for en begrænset type data: Sociale sikkerhedsnumre og sundhedsmæssige eller finansielle oplysninger.
SEC udstedte for nylig vejledning om, hvordan offentlige virksomheder skulle oplyse brud og risici.
Californians kunne stemme om en lov om databeskyttelse i år, California Consumer Personal Information Disclosure and Sale Initiative. Det ville lade beboere anmode om kopier af deres data fra virksomheder, finde ud af, hvilke tredjeparter virksomheder har solgt deres data til, og bede virksomheder om ikke at sælge eller dele deres personlige data.
Første offentliggjort 4. april kl 6:00 PT.
Opdateret 11. april kl. 24.24 PT: Tilføjet Mark Zuckerberg citater og andre oplysninger fra hans optræden før kongressen
Opdateret 24. maj kl. 5:00 PT: Tilføjet flere detaljer om loven og dens indflydelse uden for EU og om Zuckerbergs udseende før EU-parlamentet.
Opdateret 25. maj kl. 11:58 PT : Tilføjet information om privatlivspolitikker og GDPR-klager over Google og Facebook.
Cambridge Analytica: Alt hvad du behøver at vide om Facebooks data mining skandale.
Beskyt dig selv: En vejledning til de forskellige måder, du kan beskytte dit privatliv online.
Efterlad Din Kommentar