GDPR har som mål å bidra til å beskytte rettighetene til EU-borgere mot misbruk av dataene deres. Det gjelder offentlige institusjoner, bedrifter og bedrifter som behandler personopplysninger til kunder eller ansatte.

Forordningen gjelder enhetlig i alle EU-stater samt på Island, Norge og Liechtenstein. Dette gjelder også for selskaper som driver virksomhet i dette området, men som har hovedkontor andre steder. Regulatorer kan bøtelegge selskaper for å bryte GDPR-reglene.

Bøtebeløpet for brudd på reglene kan nå opptil 4 % av selskapets globale inntekter eller 20 millioner euro (over 470 millioner CZK) – avhengig av hva som er størst.

Meta Platforms så det selv denne uken. Eierne av Facebook, Instagram og WhatsApp har blitt bøtelagt med 1,2 milliarder euro (mer enn 28 milliarder CZK) for feilhåndtering av brukerdata. Boten ble ilagt av den irske databeskyttelseskommisjonen (DPC), som opptrer på vegne av EU. Kommisjonærene var misfornøyde med at Facebook sendte brukerdata til USA.

Bare forrige uke toppet den amerikanske nettforhandleren Amazon bøtene. Han ble bøtelagt med 746 millioner euro (den gang 19 milliarder CZK) av EU i juli 2021 for å ha overført personopplysninger i strid med databeskyttelsesreglene. Boten tilsvarte da omtrent 4 % av Amazons nettoresultat i 2020, som utgjorde 21,3 milliarder dollar. Amazon anket imidlertid.

Du finner en oversikt over de viktigste bøtene som er ilagt i forbindelse med brudd på GDPR i vår forrige artikkel:

En av grunnene til at direktivet ble vedtatt er at det tidligere regelverket fra 1995 ikke lenger samsvarte med gjeldende regelverk, særlig når det gjelder teknologier som brukes og innholdet i behandlingen av personopplysninger. En annen grunn var at gjeldende direktiv ikke oppnådde det nødvendige nivået av rettslig enhet.

Takket være GDPR, for eksempel, kan samtykke til behandling av personopplysninger ikke lenger inkluderes i de generelle salgsbetingelsene. På grunn av de nye reglene måtte de fleste databaser som inneholder personopplysninger som holdes av nettbutikker, samt leger, skoler og arbeidsgivere, fornyes. GDPR introduserte også retten «å bli glemt», det vil si retten til å slette personopplysningene som oppgis fra markedsføringsdatabaser. Uten kundens samtykke kan ikke bedrifter engang overvåke deres oppførsel på Internett eller selge eller gi de oppdagede dataene.

Tiltaket gjelder også lojalitetsprogrammer til forretningskjeder eller markedskommunikasjon på sosiale nettverk. Såkalte informasjonskapsler, det vil si informasjon som nettleseren lagrer om brukeraktiviteter, begynte også å bli ansett som personopplysninger.

I tillegg må databehandlere rapportere lekkasjen av personopplysninger til Kontoret for personvern (ÚOOÚ) senest 72 timer etter at de ble kjent med hendelsen. Bedrifter må også på forespørsel fortelle folk hvor lenge de vil beholde dataene sine og hvem som skal ha tilgang til dem. Det som er nytt er innføringen av retten til portabilitet av informasjon.

I desember 2019 godkjente Deputertkammeret nye GDPR-kompatible personvernregler. Den innfører autoriserte unntak fra europeiske regler. For eksempel endret parlamentsmedlemmer i regjeringens forslag unntakene fra reglene for media eller vitenskapelige, forskningsmessige og statistiske formål. Gjennom disse unntakene kan personopplysninger behandles dersom de med rimelighet brukes til journalistiske formål eller til akademiske, kunstneriske eller litterære formål. MEP-medlemmer nektet også å senke den foreslåtte aldersgrensen til under 15, etter å ha nådd hvilke barn som fullt ut kunne bruke sosiale medier selv.

Men i januar 2020 anbefalte senatet å endre loven om behandling av personopplysninger. Huset ble deretter enige om å oppheve sanksjonene for kommuner og regioner, slik Senatet ba om. Opprinnelig ønsket hun kun å redusere maksbøten for små kommuner til 15.000 kroner. Huset avviste også Senatets forsøk på å avskaffe restriksjoner på retten til informasjon knyttet til data knyttet til straffesaker eller tsjekkiske interesser i utlandet. Den brukte igjen et sett med fire dusin endringer etter GDPR. De nye reglene trådte i kraft våren 2020.

I år ønsker ÚOOÚ å fokusere på å undersøke rollen og stillingen til personvernansvarlige i offentlig forvaltning. Databeskyttelsesansvarlige hjelper til med å sikre overholdelse av personvernlovgivningen. De er mellomledd mellom databeskyttelsesmyndigheter, enkeltpersoner, profesjonelle organisasjoner og offentlige forvaltninger.

Ifølge opplysninger fra ÚOOÚ har det siden starten av GDPR-regelverket og frem til 19. oktober i fjor blitt sendt inn 1481 meldinger om brudd på personopplysningssikkerheten og totalt ilagt 126 bøter.