Generell databeskyttelsesforordning (GDPR)
General Data Protection Regulation (GDPR) er et juridisk rammeverk som setter retningslinjer for innsamling og behandling av personopplysninger fra enkeltpersoner som bor i EU (EU). Siden forordningen gjelder uavhengig av hvor nettsteder er basert, må den følges av alle nettsteder som tiltrekker europeiske besøkende, selv om de ikke spesifikt markedsfører varer eller tjenester for innbyggere i EU.
GDPR gir mandat til at EU-besøkende skal gis en rekke dataavsløringer. Nettstedet må også ta skritt for å lette slike forbrukerrettigheter i EU som rettidig varsling i tilfelle brudd på personopplysninger. Forordningen ble vedtatt i april 2016, og trådte i kraft i mai 2018, etter en overgangsperiode på to år.
Kundeservicekrav til GDPR
I henhold til reglene må besøkende varsles om data nettstedet samler inn fra dem og eksplisitt samtykke til den informasjonsinnsamlingen, ved å klikke på en enig-knapp eller annen handling. (Dette kravet forklarer i stor grad den allestedsnærværende tilstedeværelsen av avsløringer som nettsteder samler inn "informasjonskapsler" - små filer som inneholder personlig informasjon, for eksempel nettstedinnstillinger og preferanser.)
Nettsteder må også varsle besøkende på en rettidig måte hvis noen av deres personlige data som innehas av nettstedet blir brutt. Disse EU-kravene kan være strengere enn de som kreves i jurisdiksjonen der nettstedet ligger.
Mandat er også en vurdering av nettstedets datasikkerhet, og om en dedikert databeskyttelsesansvarlig (DPO) må ansettes eller en eksisterende ansatt kan utføre denne funksjonen.
Informasjon om hvordan man kontakter DPO og andre relevante ansatte må være tilgjengelig slik at besøkende kan utøve sine EU-datarettigheter, som også inkluderer muligheten til å få sin tilstedeværelse på nettstedet slettet, blant andre tiltak. (Naturligvis må nettstedet også legge til ansatte og andre ressurser for å kunne utføre slike forespørsler.)
Andre regler og mandater i den generelle databeskyttelsesforordningen (GDPR)
Som ytterligere beskyttelse for forbrukerne, krever GDPR også at all personlig identifiserbar informasjon (PII) som nettsteder samler inn enten skal anonymiseres (gjøres anonym, som begrepet tilsier) eller pseudonymisert (med forbrukerens identitet erstattet med et pseudonym). Pseudonymisering av data gjør at bedrifter kan gjøre en mer omfattende dataanalyse, for eksempel å vurdere gjennomsnittlig gjeldsgrad for sine kunder i en bestemt region - en beregning som ellers kan være utenfor de opprinnelige formålene med data samlet inn for å vurdere kredittverdighet for et lån.
GDPR påvirker data utover det som er samlet inn fra kunder. Spesielt spesielt er forskriften kanskje gjeldende for menneskelige ressurser.
Kontroverser forbundet med GDPR
GDPR har tiltrukket seg kritikk i noen kvartaler. Kravet om å utnevne DPO, eller ganske enkelt å vurdere behovet for dem, påfører noen, en unødig administrativ belastning for noen selskaper. Noen klager også over at retningslinjene er for vage på hvordan man best kan håndtere medarbeidersdata.
I tillegg kan ikke data overføres til et annet land utenfor EU, med mindre det mottakende selskapet garanterer samme grad av beskyttelse som EU krever. Dette har ført til klager på kostbar forstyrrelse av forretningspraksis.
Det er ytterligere bekymring for at kostnadene forbundet med GDPR vil øke over tid, blant annet på grunn av det økende behovet for å utdanne både kunder og ansatte om trusler og tiltak for databeskyttelse. Det er også en skepsis til hvordan gjennomførbart databeskyttelsesbyråer i hele EU og utover kan samkjøre deres håndhevelse og tolkning av regelverket, og på den måten sikre like vilkår etter hvert som GDPR får full effekt.
Sammenlign Navn på leverandør av investeringskontoer Beskrivelse Annonsørens avsløring × Tilbudene som vises i denne tabellen er fra partnerskap som Investopedia mottar kompensasjon fra.