Næstum eitt ár af #GDPR: Hefur nýju löggjöf ESB um persónuvernd breytt neinu?

Það er næstum eitt ár síðan ný persónuverndarlöggjöf ESB tók gildi þann 25, 2018, maí. Síðan þá hafa bæði fyrirtæki og einstaklingar haft tækifæri til að endurskoða hvernig þeir höndla persónuupplýsingar. Hversu mikið hefur breyst á þessum tíma?

Víðtækar hinar nýju persónuverndarreglur ESB

Nýja reglurnar eru þekktar sem GDPR, sem styttist í almenna reglugerð um gagnavernd. Í stað fyrri 1995 gagnaverndartilskipunar, miðaði GDPR við að koma á vernd persónuupplýsinga sem grundvallarmannréttinda, svo og að efla og samræma reglur og verndun gagnaverndar á öllu ESB svæðinu. Einn umdeildasti þáttur þess og sá sem sendi fyrirtæki um allan heim í æði vikurnar sem leið að fullnustu þess var svæðisbundið gildissvið þess. Samkvæmt GDPR gildir það ekki aðeins um fyrirtæki sem eru byggð á ESB heldur um allar stofnanir sem veita vöru og þjónustu til einstaklinga með aðsetur í ESB eða hafa eftirlit með starfsemi þeirra. Þetta þýddi í raun að bandarísk fyrirtæki yrðu einnig að búa sig undir nýju reglurnar, annars væru þau skylt að greiða stífar sektir. Sé ekki farið að kröfum GDPR gæti það valdið sektum upp á € 20,000,000 eða 4% af heildartekjum einingar um allan heim.

Gegn þessari stillingu og þegar fresturinn rann upp var sprengjuárás á viðskiptavini með tölvupósti og tilkynningum frá fyrirtækjum sem hvöttu þau til að veita samþykki sitt til að halda áfram að taka við samskiptum og kynningum. Þó að magnið hafi verið yfirþyrmandi fyrir flesta, þá var það hvati fyrir áhugaverða umræðu sem var löngu tímabær: stofnun neytenda þegar kemur að einkalífi þeirra á netinu. Það væri engin ofmat að segja að flestir hefðu enga hugmynd um hve mikið var fylgst með persónulegum gögnum og athöfnum á netinu og tilkoma GDPR varpaði ljósi á það. Rannsóknir sýna að frá apríl til júlí 2018, frá mánuðinum fram að fullnustu dagsetningar GDPR upp í nokkra mánuði eftir það, yfirgáfu fréttasíður smám saman smákökur og lén þriðja aðila. Á Ítalíu lækkuðu smákökur þriðja aðila um 19% en sama tala hækkaði í 32% í Frakklandi, 33% á Spáni og heil 45% í Bretlandi. Á sama tíma var yfirgefið lén þriðja aðila af 16% svarenda í Frakklandi, auk 13% í Bretlandi og 12% á Spáni.

Stóra sektir lagðar undir GDPR

Fáðu

Í tilefni af gagnaverndardeginum, sem haldinn er hátíðlegur ár hvert þann 28. janúar, Framkvæmdastjórn ESB sendi frá sér upplýsingamyndatöku með lykillinntöku frá mánuðunum frá því að GDPR var innleitt. Svo virðist sem að nýju reglurnar hafi verið samþykktar víða, þar sem einstaklingar og fyrirtæki nýta sér ákvæði þess. Yfir 95,000 kvartanir voru lagðar fyrir gagnaverndaryfirvöld (DPAs) samkvæmt reglum GDPR þar til í janúar síðastliðnum, flestar snerta fjarsölu, kynningarpóst og eftirlit með CCTV. Á hinum enda litrófsins virðist sem stofnanir séu að hita upp við nýjar skuldbindingar sínar samkvæmt persónuverndarlöggjöf flaggskipanna. Þangað til í janúar 2019 bárust um það bil 41,500 tilkynningar um brot á gögnum frá innlendum eftirlitsaðilum. Samkvæmt GDPR hafa fyrirtæki 72 klukkustundum eftir að þau uppgötva brot þar sem tilkynnt var um atvikið til lögbærs DPA. Ótti við sektina sem kveðið er á um í reglugerðinni virðist hafa virkað. Framkvæmdastjórn ESB veitir einnig upplýsingar um málin þrjú þar sem sektum var í raun lagt - þar sem enn nokkur mál eru í bið.

Samkvæmt upplýsingalistanum fékk kaffihús fyrir íþróttaveðmál í Austurríki 5,280 € sekt fyrir vídeóeftirlit, en símafyrirtæki í Þýskalandi var sektað € 20,000 fyrir skort á viðeigandi öryggisverndun gagna. Í kannski athyglisverðasta málinu, var tækni- og netþjónustur risastór Google sektað yfir svindil 50 milljónir evra af franska DPA vegna skorts á gegnsæi og bilun í að tryggja samþykki fyrir persónulegum auglýsingum. Ákvörðunin, sem mikið var greint frá í fréttinni, náðist eftir að tvö félagasamtök sem einbeita sér að friðhelgi einkalífsins á vefnum lögðu fram kvartanir hjá franska varðhundinum CNIL. Þó að það þýði ekki að fjárhagsleg eyðilegging fyrir Google sé á neinn hátt, þar sem verðmæti fyrirtækisins er áætlað í trilljónunum, er búist við að það hafi áhrif á það hvernig þeir nálgast persónuverndarmál og geta mögulega látið leiðtoga Silicon Valley endurskoða viðskiptalíkan sitt . Þegar öllu er á botninn hvolft, undanfarnar óróar samfélagsmiðlapallsins Facebook, sem stóðu frammi fyrir gríðarlegu bakslagi vegna umdeildrar leiðar sinnar til að deila persónulegum gögnum notenda með greiningarfyrirtækjum þriðja aðila, benda einnig til þess að breyting sé löngu tímabær.

Og það virðist sem GDPR gæti aðeins veitt innblástur fyrir það, að hluta til þökk sé kynningu sem hann fékk. Samkvæmt infographic framkvæmdastjórninni var í 2018 minnst á GDPR oftar en Mark Zuckerberg sjálfur á alþjóðlegum fjölmiðlum, en í maí 2018 fór það framhjá bæði Beyoncé og Kim Kardashian í leitum Google.

Deildu þessari grein: