Databeskyttelsesdirektivet er et EU-direktiv, der blev vedtaget i 1995, og som regulerer behandlingen af personoplysninger i EU.
Dette direktiv var på alle måder velegnet til formålet på det tidspunkt.
Der er dog sket meget siden 1995. For eksempel er bandet Steps blevet dannet, opløst, gendannet, opløst igen og så dannet igen (lad os håbe, at de bliver sammen denne gang, ellers ville det være en tragedie !)
I denne periode er internettet også blevet meget udbredt i vores liv. Det er her, vi handler, har sociale kontakter og - lad os se det i øjnene - tilbringer de fleste af vores dage. Dette har resulteret i, at forskellige virksomheder (måske din egen) i hele verden har en utrolig mængde data om dig og mig. Mange af disse virksomheder undlader at beskytte dem ordentligt.
Er du bekymret?
Du har al mulig ret til at være det, da dine data er overalt og måske endda er til salg til højestbydende online. Nogle virksomheder er måske ikke alt for forsigtige med dataene, da de ikke tidligere har været nødt til at overholde tilstrækkelig strenge regler.
Men frygt ej (ba ba ba daba da), for EU's databeskyttelsesdirektiv er endelig ved at blive opdateret for første gang siden 1995. Endnu bedre er det, at det bliver ændret fra et direktiv til en forordning, hvilket betyder, at det er en rigtig omfattende lov, der kan håndhæves.
Med det gamle direktiv betød det, at de enkelte EU-lande kunne fortolke reglerne forskelligt. Den nye forordning betyder derimod, at den skal gennemføres på samme måde af alle EU's medlemsstater, og at EU fører tilsyn med dens myndighed i alle medlemsstater.
Først og fremmest betyder det, at organisationer skal være særligt opmærksomme på kundedata. Virksomhederne skal behandle kundedata, som de ville ønske, at deres egne blev behandlet.
Data omdefineret
Borgernes rettigheder er helt centralt i den nye GDPR-forordning, og organisationer skal oplyse om den planlagte brug og varigheden af kundedata og indhente tilladelse hver gang der foreslås en ny brug af deres data.
EU-borgere skal vælge at acceptere lagring, brug og forvaltning af deres personoplysninger og kan få adgang til, ændre eller anmode om at få slettet deres oplysninger.
Derudover er det op til organisationer at rapportere databrud til personer, hvis data er gået tabt, og de skal gøre dette inden for en tidsramme på 72 timer. Derefter er det også virksomhedens ansvar at evaluere databruddet og iværksætte forebyggende foranstaltninger for at sikre, at det ikke sker igen.
En af de mest opsigtsvækkende dele af den nye GDPR-forordning er de involverede tal. For at sikre, at organisationer overholder den nye forordning fuldt ud, vil der blive indført store bøder - helt op til 4 % af deres globale omsætning eller 20.000.000 EUR, alt efter hvad der er højest. Se de store virksomheder, der betalte en stor pris før GDPR.
Men hvad med Brexit, eller hvis min virksomhed er baseret i en anden region?
Brexit-schmexit. GDPR har en virkelig global indvirkning. Organisationer uden for EU skal overholde reglerne, hvis de håndterer, opbevarer, administrerer eller behandler EU-borgeres personoplysninger. Lovgivningen træder også i kraft i maj 2018, inden Brexit finder sted. Så Storbritannien vil have de samme regler at forholde sig til som alle andre EU-lande, selv efter at de har forladt EU.
Det er ekstremt vigtigt for alle virksomheder med forretninger i EU at forstå og overholde GDPR-lovgivningen fuldt ud (eller få store bøder!) For flere oplysninger om GDPR, og hvad du skal gøre nu, klik her.