Nu får du helt nye digitale rettigheder på internettet

EU-loven GDPR giver for første gang alle 430 millioner europæiske internetbrugere nøglerne til deres digitale liv. Her er tre ting, du skal vide som borger, forening og virksomhed.

Vi taster en masse oplysninger ind, når vi går på nettet og køber for eksempel en bog, skjorte eller græsslåmaskine. Eller når vi tilmelder os services, der hjælper os med at holde styr på alt fra løbeture til jobsøgning.

Men nogle gange er det svært at vide, hvorfor virksomhederne skal have så mange af vores personlige oplysninger. Og vi ved ikke, hvad der egentlig sker med de mange informationer bagefter.

Det skal GDPR lave om på - eller General Data Protection Regulation, som forkortelsen dækker over.

Bag det mindre mundrette navn gemmer sig en historisk vidtrækkende lov om databeskyttelse, som EU har vedtaget, der træder i kraft den 25. maj.

Det er en massiv opdatering af den seneste lov, der er fra 1995, da internettet stadig løb igennem telefonens kobbertråde og ud af det bippende telefonmodem.

Loven kommer til at gælde for alle europæere, som den giver en hidtil uset beskyttelse af digitale data.

Her får du et hurtigt overblik over de tre vigtigste ting, du skal vide om GDPR som forbruger, virksomhed eller forening.

Forbrugeren

1. Få kontrol

Som forbruger skal du ikke aktivt gå ud at gøre noget lige nu. Men du skal forstå dine nye rettigheder og muligheder.

- Man skal vide, hvad der foregår og forstå, hvad virksomhederne skal bruge ens oplysninger til, og at man selv har kontrol over dem, siger Anette Høyrup, der er seniorjurist i Forbrugerrådet Tænk.

- Man skal ikke finde sig i at virksomheder indsamler oplysninger, som ikke er relevante for den app, vare eller tjenesteydelse, som man bruger, køber eller benytter, siger Anette Høyrup.

2. Juridisk volapyk

De er lange. De er kedelige. De er dårligt skrevet.

Du kender godt de lange juridiske aftaler, som du skal læse inden du for eksempel kan bruge den nye app, som du lige downloadede til telefonen.

Ingen læser dem. Men nu er det også slut med dem.

- De er jo megakomplekse, men noget af det nye er, at vilkår skal være til at forstå. Det er slut med de 40 siders volapyk, som er efterfulgt af en klikboks, som man skal sætte et hak i, siger Anette Høyrup.

Derfor råder Høyrup dig til at bruge to minutter på at læse aftalerne, så du ved, hvad der faktisk sker med dine data.

3. Flyt eller slet dine data

De nye regler gør også, at du nu kan flytte dine oplysninger fra en virksomhed til en anden. For eksempel hvis du haft eller lejet en Tesla, der jo indsamler en masse data om dig og dine køreture.

- Så kan man gå til Tesla og sige ‘tak for lån’, og at nu er jeg færdig med jer, så i må gerne give mig alle mine data og så overføre dem til den bil, som jeg har nu, siger Anette Høyrup.

Samtidig kan man også bede virksomheden om at slette data. For eksempel også, når man flytter bank eller forsikringsselskab.

Men forbrugeren kan tage det roligt, når GDPR træder i kraft.

- Her og nu er der ikke noget, som man skal gøre, siger Anette Høyrup.

Virksomhed

1. Dyk i arkivet

Virksomhederne skal til at finde ud af, hvad de har liggende af folks personlige oplysninger.

- Det er noget af det vigtigste, som man først skal finde ud af. Hvor i vores systemer har vi oplysninger om folk, siger Kim Haggren, der er underdirektør og ansvarlig for persondataområdet i Dansk Industri.

Virksomhederne skal også finde ud af, hvad det er for en type informationer. Om det blot er navne og emailadresser eller også personfølsomme oplysninger.

Dernæst skal virksomhederne gå ud og oplyse folk om, hvad det er for nogle data, at de har liggende om den enkelte.

2. Data ryger rundt

Selvom en bruger giver oplysninger til en virksomhed, kan de sagtens blive givet videre til en anden.

- De fleste virksomheder i Danmark deler jo data med andre. For eksempel lønbogholdere, hvor informationer ryger ud af virksomheden til andre, siger Kim Haggren.

Derfor skal alle virksomheder lave aftaler med databehandlere for at sikre sig, at de opfylder lovgivningen.

Der skal være en persondatapolitik, hvor man også får samtykke fra de personer, som har givet deres oplysninger til virksomheden. Det er både fra ansatte, kunder og samarbejdspartnere at virksomheden skal sørge for, at de har indsamlet alt på et lovligt grundlag.

3. Vis hvad du gør

Men det er ikke nok at overholde loven. Virksomhederne skal også kunne dokumentere, at de gør det. Og de skal kunne vise, hvilke risici der eventuelt er, når de opbevarer data.

- Det er vigtigt, at man dokumenterer de skridt, som man tager for at beskytte data. Man skal kunne vise det skriftligt og fremlægge det, hvis nogen vil se det, siger Kim Haggren.

Foreninger

1. Bank eller bordtennisklub

Bordtennis, petanque eller dart. Hvis du er med i en af de cirka 12.000 danske idrætsforeninger - eller foreninger i det hele taget - skal du også lære GDPR at kende.

- Reglerne er de samme uanset om man er en idrætsorganisation eller en virksomhed, men i praksis kan de betyde noget forskelligt, siger Steen F. Andersen, der er advokat og juridisk chef i DGI.

Derfor skal foreningerne lige som virksomhederne også gennemgå, hvilke informationer de har, og hvordan de behandler dem.

2. Frivillige og trænere

Det er på en måde nemmere for store virksomheder, at lave procedurer omkring sikkerhed og opbevaring af data og informationer end det er for en lille idrætsforening. Men kravene er de samme.

- Det er ikke bare de fem mand i klubbens bestyrelse, der skal kende til det her, men alle 45 frivillige, trænere og holdledere, der ellers opbevarer oplysninger på hver deres måde og bruger deres egne email-konti, siger Steen F. Andersen.

Det er især oplysninger omkring helbred og børneattester og eventuelt kontrakter med ledere og trænere, hvor foreningerne skal være opmærksomme.

3. Sig ja tak

Hvor virksomhederne skal tænke i at få samtykke fra for eksempel deres brugere og kunder, så skal foreninger tænker mere i nødvendighed og hvilke informationer, som de virkelig har brug for at opbevare.

- De har et fællesskab af medlemmer og ledere, der slutter op om foreningens mål og formål, og det adskiller sig meget fra at være kunde i en virksomhed. Så det gør, at foreninger kan behandle mange almindelige personoplysninger uden at have samtykke, siger Steen F. Andersen.

Hvad er GDPR?

  • Den nye EU-lov hedder General Data Protection Regulation, og den forkortes GDPR. Den afløser den gamle lov om databeskyttelse, der går tilbage til 1995.

  • Hvad gør GDPR? Som bruger får du en masse nye rettigheder, der er som en nøgle til dit digitale privatliv. Du kan bede virksomheder og organisationer om at fortælle, hvilke oplysninger de har om dig. Og du kan bede dem om at slette dine data. Du kan også bede dem om at flytte dem.

  • Hvad hvis virksomheder ikke overholder loven? Virksomheder kan få en bøde på cirka 150 millioner kroner eller 4% af deres globale omsætning, hvis de overtræder loven.

  • Hvem dækker det? Loven gælder kun i EU men er for alle virksomheder - amerikanske, russiske, kinesiske og så videre - der har EU-forbrugere som kunder. Derfor skal amerikanske Facebook også overholde loven. Der er mindst 430 millioner brugere af internettet i EU.

  • Hvilke virksomheder rammer det især? GDPR vil især kunne påvirke virksomheder som for eksempel Facebook og Google og alle andre, der lever af at give folk en service til gengæld for data om deres privatliv.

Facebook
Twitter