Hva er den generelle databeskyttelsesforordningen (GDPR)?
General Data Protection Regulation (GDPR) er et juridisk rammeverk som setter retningslinjer for innsamling og behandling av personopplysninger fra enkeltpersoner som bor i Den europeiske union (EU). Siden forordningen gjelder uavhengig av hvor nettsteder er basert, må den følges av alle nettsteder som tiltrekker europeiske besøkende, selv om de ikke spesifikt markedsfører varer eller tjenester for innbyggere i EU.
GDPR gir mandat til at EU-besøkende skal gis en rekke dataavsløringer. Nettstedet må også iverksette tiltak for å lette slike forbrukerrettigheter i EU som en rettidig varsling i tilfelle brudd på personopplysninger. Forordningen ble vedtatt i april 2016, og trådte i kraft i mai 2018, etter en overgangsperiode på to år.
Kundeservicekrav til GDPR
I henhold til reglene må besøkende varsles om data nettstedet samler inn fra dem og uttrykkelig samtykke til den informasjonsinnsamlingen, ved å klikke på en enig-knapp eller annen handling. (Dette kravet forklarer i stor grad den allestedsnærværende tilstedeværelsen av avsløringer som nettsteder samler inn "informasjonskapsler" - små filer som inneholder personlig informasjon, for eksempel nettstedinnstillinger og preferanser.)
Nettsteder må også varsle besøkende på rettidig måte hvis noen av deres personlige data som innehas av nettstedet blir brutt. Disse EU-kravene kan være strengere enn de som kreves i jurisdiksjonen der nettstedet ligger.
Mandat er også en vurdering av nettstedets datasikkerhet, og om en dedikert databeskyttelsesansvarlig (DPO) må ansettes eller en eksisterende ansatt kan utføre denne funksjonen.
Informasjon om hvordan man kontakter DPO og andre relevante ansatte må være tilgjengelig slik at besøkende kan utøve sine EU-datarettigheter, som også inkluderer muligheten til å få sin tilstedeværelse på nettstedet visket ut, blant andre tiltak. (Naturligvis må nettstedet også legge til ansatte og andre ressurser for å kunne utføre slike forespørsler.)
Andre regler og mandater i den generelle databeskyttelsesforordningen (GDPR)
Som ytterligere beskyttelse for forbrukerne, krever GDPR også at all personlig identifiserbar informasjon (PII) som nettsteder samler inn skal enten anonymiseres (gjøres anonym, som begrepet tilsier) eller pseudonymisert (med forbrukerens identitet erstattet med et pseudonym). Pseudonymisering av data gjør at bedrifter kan gjøre en mer omfattende dataanalyse, for eksempel å vurdere gjennomsnittlig gjeldsgrad for kundene i et bestemt område - en beregning som ellers kan være utenfor de opprinnelige formålene med data samlet inn for å vurdere kredittverdighet for et lån.
GDPR påvirker data utover det som er samlet inn fra kunder. Mest bemerkelsesverdig gjelder kanskje forskriften menneskelige ressurser.
Kontroverser forbundet med GDPR
GDPR har tiltrukket seg kritikk i noen kvartaler. Kravet om å utnevne DPOs, eller ganske enkelt å vurdere behovet for dem, påfører noen, en unødig administrativ belastning for noen selskaper. Noen klager også over at retningslinjene er for vage på hvordan man best kan håndtere medarbeidersdata.
I tillegg kan ikke data overføres til et annet land utenfor EU, med mindre det mottakende selskapet garanterer samme grad av beskyttelse som EU krever. Dette har ført til klager på kostbar forstyrrelse av forretningspraksis.
Det er en ytterligere bekymring for at kostnadene forbundet med GDPR vil øke over tid, blant annet på grunn av det eskalerende behovet for å utdanne kunder og ansatte både om trusler og tiltak for databeskyttelse. Det er også skepsis for hvordan gjennomførbart databeskyttelsesbyråer i hele EU og utover kan samordne deres håndhevelse og tolkning av regelverket, og slik sikre like vilkår etter hvert som GDPR får full effekt.
