Generell databeskyttelsesforordning

Forordning (EU) 2016/679
EU-forordning
Tittel Forordning om beskyttelse av data om fysiske personer med hensyn til behandling av personopplysninger og fri flyt av disse dataene og oppheving av direktiv 95/46/EF (generell databeskyttelsesforordning)
Laget av Europaparlamentet og Den europeiske unions råd
OJEU- referanse L 119, 4.5.2016, s. 1–88
Historie
Godkjenningsdato 14. april 2016
søknadsdato 25. mai 2018
forberedende tekster
Kommisjonens forslag COM/2012/010 endelig – 2012/0010 (COD)
Relatert lovverk
erstatter Databeskyttelsesdirektivet
Gjeldende lovverk

General Data Protection Regulation ( RGPD ) er den europeiske forordningen om beskyttelse av fysiske personer med hensyn til behandling av deres personopplysninger og fri sirkulasjon av disse dataene. Den trådte i kraft 24. mai 2016 og ble gjeldende 25. mai 2018, to år hvor bedrifter, organisasjoner, byråer og institusjoner tilpasset seg den. Det er en forskrift på EU- nivå , så ethvert selskap i unionen, eller de selskapene som har virksomhet i EU, som håndterer personlig informasjon av noe slag, må overholde den. Bøter for manglende overholdelse av GDPR kan komme opp i 20 millioner euro.

I Spania gjorde RGPD den organiske loven om beskyttelse av personopplysninger (LOPD) av 1999 foreldet, og ble erstattet 6. desember 2018 av den organiske loven om beskyttelse av personopplysninger og garanti for digitale rettigheter , i samsvar med GDPR . [ 1 ]

Historie

Før en spesifikk forskrift var den eneste beskyttelsen rettspraksisen til Høyesterett for kassasjon ; For å respektere Schengen-avtalene og for å overholde EU-direktiv 95/46/CE av 24. oktober 1995, knyttet til beskyttelse av fysiske personer med hensyn til behandling av personopplysninger, er loven nr. 675 av 31. desember 1996, som trådte i kraft i mai 1997.

Over tid har denne regelen blitt supplert med andre lover, knyttet til individuelle og spesifikke aspekter ved databehandling. Den regulatoriske kompleksiteten som oppsto som følge av godkjenningen av ulike bestemmelser førte til vedtakelsen av d.lgs. 196 av 30. juni 2003, som fullstendig omorganiserte saken. I 2011 og 2012 endret andre bestemmelser 2003-koden, spesielt ved å fjerne noen byråkratiske prosedyrer (som DPS) eller reglene for sensitiv informasjon som spontant ble gitt gjennom CV -en din .

Den 25. januar 2012 godkjente EU-kommisjonen forslaget til en forordning om beskyttelse av personopplysninger som erstatter direktiv 95/46/EF. Den 4. mai 2016 ble EU-forordningen nr. 2016/679 (direkte gjeldende uten behov for innføringslov), hvis endelige ikrafttredelse fant sted 25. mai 2018.

Sammendrag

Det nye EUs databeskyttelsesregime utvider omfanget av EUs databeskyttelseslov til alle utenlandske selskaper som behandler data fra EU-innbyggere. For å overholde disse forskriftene kommer dette imidlertid på bekostning av et strengt overholdelsesregime for databeskyttelse med strenge straffer på opptil 4 % av verdensomsetningen. [ 2 ]

GDPR tilbyr også et nytt sett med "digitale rettigheter" for EU-borgere i en tid da den økonomiske verdien av personopplysninger øker i den digitale økonomien.

Innhold

Den generelle databeskyttelsesforordningen inneholder følgende nøkkelkrav: [ 3 ]​ [ 4 ]

Omfang

Forskriften gjelder enten den behandlingsansvarlige (en organisasjon som samler inn data fra innbyggere i EU) eller databehandleren (en organisasjon som behandler data på vegne av den behandlingsansvarlige, for eksempel leverandører av skytjenester) eller den registrerte (personen) er basert i EU. Videre gjelder forordningen også for organisasjoner basert utenfor EU dersom de samler inn eller behandler personopplysninger om innbyggere i EU. Ifølge EU-kommisjonen er "Personopplysninger all informasjon knyttet til en person, enten den er relatert til deres private, profesjonelle eller offentlige liv. Det kan være alt fra navn, adresse, bilde, e-postadresse, bankdetaljer, innlegg på sosiale medier medienettsteder, medisinsk informasjon eller IP-adressen til en datamaskin." [ 5 ]

Forordningen er ikke ment å gjelde for behandling av personopplysninger for nasjonal sikkerhet eller rettshåndhevelsesaktiviteter i EU; bransjegrupper som er bekymret for potensielle lovkonflikter, har imidlertid stilt spørsmål ved om artikkel 48 i GDPR kan påberopes for å forhindre at en behandlingsansvarlig underlagt lovene i et tredjeland overholder en rettshåndhevelsesorden i det landet, rettslig. , eller nasjonale sikkerhetsmyndigheter utleverer personopplysningene til en EU-person til disse myndighetene, uavhengig av om dataene befinner seg innenfor eller utenfor EU.

Artikkel 48 sier at enhver dom fra en domstol og enhver avgjørelse fra en administrativ myndighet i et tredjeland som krever at en behandlingsansvarlig eller databehandler overfører eller utleverer personopplysninger, bare kan anerkjennes eller håndheves på noen måte hvis den er basert på en avtale. for eksempel en eksisterende avtale om gjensidig rettshjelp mellom det anmodende tredjelandet (ikke-EU) og unionen eller en medlemsstat, inkluderer databeskyttelsesreformpakken også et eget databeskyttelsesdirektiv for rettshåndhevelsessektoren og strafferettssystemet som gir standarder om utveksling av personopplysninger på nasjonalt, europeisk og internasjonalt nivå.

Enkelt sett med regler og one stop shop

Et enkelt sett med regler vil gjelde for alle EUs medlemsland. Hvert medlemsland vil opprette en uavhengig tilsynsmyndighet (SA) for å høre og undersøke klager, sanksjonere administrative brudd osv. SA-ene i hver medlemsstat vil samarbeide med andre SA-er, gi gjensidig bistand og organisere felles operasjoner. Der et selskap har flere virksomheter i EU, vil det ha en enkelt SA som sin "hovedmyndighet", avhengig av hvor dets "hovedetablering" befinner seg (dvs. stedet hvor hovedforedlingsaktivitetene utføres). Den ledende myndigheten vil fungere som en " one stop shop " for å overvåke alle behandlingsaktiviteter til det selskapet i hele EU. [ 6 ]​ [ 7 ]​ (Artikkel 46–55 i RGPD). European Data Protection Board (EDPB) vil koordinere SA. EDPB vil erstatte artikkel 29-arbeidsgruppen .

Det finnes unntak for data som behandles i arbeidssammenheng og data som behandles for nasjonale sikkerhetsformål som fortsatt kan være underlagt regelverket i hvert land (artikkel 2 (2) (a) og 82 i GDPR).

Ansvar

Varslingskravene består og utvides. De må inkludere oppbevaringstid for personopplysninger og kontaktinformasjon for behandlingsansvarlig og en personvernombud må oppgis .

Automatisert individuell beslutningstaking, inkludert profilering (artikkel 22) kan diskuteres, i likhet med databeskyttelsesdirektivet (artikkel 15). Innbyggere har rett til å stille spørsmål og kjempe mot viktige beslutninger som berører dem og som er tatt på eksklusivt grunnlag av ic - algoritmen . Mange medier har kommentert innføringen av en "rett til forklaring" for algoritmiske avgjørelser, [ 8 ] [ 9 ] men juridiske forskere har siden hevdet at eksistensen av en slik rettighet er uklar uten rettslig bevis, og i beste fall er begrenset. [ 10 ]​ [ 11 ]

For å demonstrere samsvar med GDPR, må den behandlingsansvarlige iverksette tiltak som overholder prinsippene om databeskyttelse ved design og databeskyttelse som standard. Personvern ved design og som standard (artikkel 25) krever at databeskyttelsestiltak er utformet for utvikling av forretningsprosesser for produkter og tjenester. Slike tiltak inkluderer personopplysninger Pseudonymisering av behandlingsansvarlig så snart som mulig (betraktning 78).

Det er den behandlingsansvarliges ansvar å iverksette effektive tiltak og å kunne påvise samsvar med behandlingsaktivitetene, selv om behandlingen utføres av en databehandler på vegne av den behandlingsansvarlige. (Betraktning 74).

Konsekvensvurderinger for databeskyttelse (artikkel 35) må gjennomføres når det oppstår spesifikke risikoer for de registrertes rettigheter og friheter. Risikovurdering og redusering er nødvendig, og forhåndsgodkjenning fra datatilsynsmyndighetene (DPA-er) kreves for høyere risiko. Databeskyttelsesansvarlige (artikkel 37-39) må sørge for overholdelse i organisasjoner.

De må utnevnes:

Rettslig grunnlag for behandling

Opplysningene kan kun behandles dersom det i det minste er lovlig grunnlag for å gjøre det. [ 13 ] Det juridiske grunnlaget for behandling av data er:

Samtykke

Når samtykke brukes som rettslig grunnlag for behandling, må samtykket være eksplisitt for opplysningene som samles inn og formålene opplysningene brukes til (artikkel 7, definert i artikkel 4). Samtykke for barn [ 14 ]​ må gis av forelder eller verge til barnet, og kan verifiseres (artikkel 8). Behandlingsansvarlige må kunne bevise «samtykke» (opt-in) og samtykke kan trekkes tilbake. [ 15 ]

GDPR-samtykkespørsmålet har en rekke implikasjoner for selskaper som tar opp samtaler i praksis. Typiske oppfordringer som "denne samtalen blir tatt opp av sikkerhetsgrunner" vil ikke lenger være tilstrekkelig for å få antatt samtykke til å ta opp samtaler. Dessuten, når opptaket har startet, hvis personen som tas opp trekker tilbake samtykket, må den oppringte agenten kunne stoppe et tidligere startet opptaket og sørge for at opptaket ikke lagres. [ 16 ]

Databeskyttelsesansvarlig

Der behandlingen utføres av en offentlig myndighet, med unntak av uavhengige domstoler eller rettsmyndigheter når de opptrer i sin dømmende egenskap, eller hvor behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av databehandling operasjoner.behandling som krever regelmessig og systematisk overvåking av registrerte, bør en person med ekspertkunnskap om personvernlovgivning og -praksis bistå den behandlingsansvarlige eller databehandleren med å overvåke intern etterlevelse av denne forordning.

DPOen er lik, men ikke den samme som en Compliance Officer, da de også forventes å være dyktige i IT-prosessstyring, datasikkerhet (inkludert håndtering av cyberangrep) og andre kritiske forretningskontinuitetsproblemer i oppbevaring og behandling av personlig og konfidensiell data. Det nødvendige ferdighetssettet strekker seg utover å forstå lovlig overholdelse av databeskyttelseslover og -forskrifter.

Å utnevne en DPO i en stor organisasjon vil være utfordrende for styret så vel som den aktuelle personen. Det er et utall av styrings- og menneskelige faktorer som organisasjoner og selskaper må ta tak i gitt omfanget og arten av utpekingen. I tillegg må jobbinnehaveren bygge opp sitt eget støtteteam og vil også være ansvarlig for sin egen kontinuerlige faglige utvikling ettersom de må være uavhengige av organisasjonen som ansetter dem, effektivt som en "miniregulator".

Den 13. desember 2016 (revidert 5. april 2017) ble flere detaljer om rollen og rollen til personvernombudet gitt med et veiledningsdokument. [ 17 ]

Pseudonymisering

Pseudonymisering er en datahåndtering og dataavidentifikasjonsprosedyre der personlig identifiserbare informasjonsfelt i en datapost erstattes med en eller flere kunstige identifikatorer. Et unikt pseudonym for hvert erstattet felt eller sett med erstattede felt gjør dataposten mindre identifiserbar, men er fortsatt egnet for dataanalyse og databehandling .

Pseudonymiserte data legemliggjør toppmoderne når det gjelder Data Protection by Design og som standard, siden det krever beskyttelse av direkte og indirekte identifikatorer (ikke bare direkte). Databeskyttelse ved design og databeskyttelse som standard i GDPR, slik de er nedfelt i pseudonymisering, krever beskyttelse av direkte og indirekte identifikatorer, slik at personopplysninger ikke kan kryssreferanser (eller re-identifiseres). -identifikasjon) gjennom «mosaikkeffekt» uten tilgang til «tilleggsinformasjonen» som behandlingsansvarlig oppbevarer separat. Siden tilgang til separat oppbevart "tilleggsinformasjon" er nødvendig for re-identifikasjon, kan den behandlingsansvarlige begrense tilordningen av dataene til et spesifikt datasubjekt kun for å støtte juridiske formål.

Pseudonymisering (eller pseudonymisering, stavemåten i henhold til europeiske retningslinjer) er en måte å overholde kravene i den nye General Data Protection Regulation (RGPD) i EU for sikker lagring av personopplysninger . Pseudonymiserte data kan gjenopprettes til sin opprinnelige tilstand med tillegg av informasjon som gjør at enkeltpersoner kan identifiseres på nytt, mens anonymiserte data aldri kan gjenopprettes til sin opprinnelige tilstand.

GDPR i EU refererer til kryptering, eller kryptering, av data som den sikreste formelen for beskyttelse. Faktisk sier den i artiklene 33 og 34 at hvis informasjonen er kryptert, selv om det er en lekkasje, er det ikke nødvendig å varsle de berørte, og heller ikke den tilsvarende administrative myndigheten, når det gjelder Spania, det spanske beskyttelsesbyrået av data..

Den peker også på pseudonymisering som etterspurt for enhver lagring av personopplysninger om personer innenfor EU som et alternativ til det andre alternativet med dataanonymisering . [ 18 ]

Sikkerhet for personopplysninger

For å anvende databeskyttelsesprinsipper må behandlere og behandlingsansvarlige for personopplysninger etablere tekniske tiltak og organisatoriske tiltak. Og forretningsprosesser som håndterer personopplysninger bør utformes og bygges med prinsippene i tankene og gi sikkerhetstiltak for å beskytte data (f.eks. ved bruk av pseudonymisering eller full anonymisering der det er nødvendig). Behandlingsansvarlige designer informasjonssystemer med tanke på personvern. For eksempel å bruke personverninnstillinger så høye som mulig som standard, slik at datasett ikke er offentlig tilgjengelig og ikke kan brukes til å identifisere et emne. Ingen personopplysninger kan behandles med mindre denne behandlingen utføres under ett av de seks rettsgrunnlagene som er spesifisert i forordningen (samtykke, kontrakt, offentlig funksjon, vital interesse, legitim interesse eller lovkrav). Når behandlingen er basert på samtykke, har interessenten rett til å tilbakekalle den når som helst.

Datainnbrudd

I henhold til GDPR vil databehandleren være juridisk forpliktet til å varsle tilsynsmyndigheten uten ugrunnet opphold. Varsling om databrudd er ikke underlagt noen bagatellmessige regler og må varsles til Tilsynsmyndigheten innen 72 timer etter at man ble kjent med databruddet (artikkel 33). Personer må varsles hvis det fastslås en negativ påvirkning (artikkel 34). Videre skal databehandler varsle den behandlingsansvarlige uten opphold etter å ha blitt kjent med et personopplysningsbrudd (artikkel 33).

Varsling til registrerte er imidlertid ikke nødvendig dersom den behandlingsansvarlige har iverksatt hensiktsmessige tekniske og organisatoriske beskyttelsestiltak som gjør personopplysningene uforståelige for alle som ikke har tilgang til dem, for eksempel kryptering (artikkel 34) .

Sanksjoner

Følgende sanksjoner kan ilegges:

Kronologi

Forslaget [ 7 ] for GDPR ble utgitt 25. januar 2012.

EUs digitale indre marked

EUs strategi for digitalt indre marked har som mål å åpne opp digitale muligheter for mennesker og bedrifter og forbedre Europas posisjon som verdensledende innen den digitale økonomien. [ 25 ]

Som en del av denne strategien er GDPR og direktivet om sikkerhet for nettverk og informasjonssystemer (NIS-direktivet) gjeldende fra 25. mai 2018. Personvernforordningen "[foreslått]" gjelder også fra 25. mai 2018. mai 2018. eIDAS Regulering er også en del av strategien.

Innbyggerkontroll av personopplysninger

I henhold til GDPR oppfordres organisasjoner til å gi tilbake kontroll over personopplysninger til den enkelte eller innbygger. Gjøre det lettere for dem å få tilgang til dataorganisasjonene de har og slik at de kan endre tillatelsene de gir slik at de blir brukt (se juridiske grunnlag for behandling) eller delt.

Personlig informasjonshåndtering hjelper organisasjoner med å gi tilbake denne kontrollen, og det finnes en rekke verktøy og løsninger for å hjelpe med dette.

Mottak

I følge en studie utført av Deloitte i 2018, mener 92 % av selskapene at de kan overholde GDPR i sin praksis på lang sikt. [ 26 ]

Selskaper som opererer utenfor EU har investert mye i å tilpasse sin forretningspraksis med GDPR. GDPR-omfanget av samtykke har en rekke implikasjoner for virksomheter som logger anrop som et spørsmål om praksis. Det typiske juridiske varselet anses ikke som tilstrekkelig for å innhente samtykke til å ta opp samtaler. Videre, når opptaket har startet, bør innringeren trekke tilbake sitt samtykke, hvoretter agenten som mottar samtalen skal kunne stoppe et tidligere påbegynt opptak og garantere at opptaket ikke blir lagret. [ 27 ]

IT-fagfolk forventer at overholdelse av GDPR vil kreve ytterligere investeringer totalt sett: Mer enn 80 prosent av respondentene forventet at GDPR-relaterte utgifter skulle være på minst $100 000. [ 28 ] Bekymringene ble gjentatt i en rapport fra lederne av advokatfirmaet Baker & McKenzie , som fant at over «70 prosent av respondentene mener at organisasjoner vil trenge ytterligere investeringer i budsjett/innsats for å oppfylle samtykket, datakartleggingen og kravene iht. GDPR for grenseoverskridende dataoverføring». [ 29 ] Den totale kostnaden for EU-transportører er estimert til 200 milliarder euro mens amerikanske luftfartsselskaper forventes å koste 41,7 milliarder dollar. Det har blitt hevdet at små bedrifter og startups kanskje ikke har de økonomiske ressursene til å overholde GDPR tilstrekkelig, i motsetning til de internasjonale og store teknologiselskapene (som Facebook og Google ) som denne forskriften tilsynelatende er ment for. [ 30 ]​ [ 31 ]​ Mangel på kunnskap og misforståelse av regelverket har også vært en bekymring i forkant av tilpasningen. [ 32 ] Motargumentet til dette har vært at selskapene ble kjent med disse endringene to år før de trådte i kraft og derfor burde ha tilstrekkelig tid til å forberede seg. [ 33 ]

Regelverket, herunder om et selskap må ha en personvernombud, har blitt kritisert for potensielle administrative byrder og uklare etterlevelseskrav. [ 34 ] I tillegg er dataminimering et krav, at pseudonymisering er et av de mulige virkemidlene, forskriften gir ikke veiledning om hvordan og hva som utgjør en effektiv dataavidentifikasjonsordning, med en gråsone for hva som kan anses som uriktig pseudonymisering underlagt håndhevingshandlinger i avsnitt 5. [ 35 ] Det er også bekymringer angående implementeringen av GDPR i blokkjedesystemer , slik som transparent logging og logging av blokkjedetransaksjoner som motsier blokkjedens natur. [ 36 ]​ Mange medier har kommentert innføringen av en "rett til forklaring" for algoritmiske avgjørelser, [ 37 ] [ 38 ]​ men juridiske kandidater har hevdet at eksistensen av en slik rett er stort sett uklar. uten rettslige tester og begrenset i de beste tilfeller. [ 39 ]​ [ 40 ]

GDPR har fått støtte fra bedrifter som ser dette som en mulighet til å forbedre sin datahåndtering. [ 41 ]​ [ 42 ] ​Mark Zuckerberg har også kalt det "en veldig positiv ting for internett", [ 43 ]​ og har bedt om at GDPR -lover skal vedtas i USA. [ 44 ] organisasjoner som European Consumer Organisation, er blant de mest aktive forkjemperne for lovgivningen. [ 45 ] Andre støttespillere har tilskrevet hans passasje til varsleren Edward Snowden . [ 46 ] Forkjemper for fri programvare Richard Stallman har berømmet noen aspekter av GDPR, men etterlyst ytterligere sikkerhetstiltak for å hindre teknologiselskaper fra å "lisensiere produksjonen deres". [ 47 ]

Referanser

  1. «Godkjent den organiske loven om databeskyttelse og garanti for digitale rettigheter» . Spansk databeskyttelsesbyrå . 23. november 2018. 
  2. ^ "https://via.hypothes.is/http://mlawgroup.de/news/publications/detail.php#annotations:oExZ4PVtEeefHEPs4cEz6w" . via.hypothes.is (på tysk) . Hentet 18. januar 2018 . 
  3. ^ "Inoffisiell [ sic ] konsolidert versjon GDPR" Arkivert 2013-12-31 på Wayback Machine .. Rapportør Jan Philipp Albrecht . Hentet 9. desember 2013.
  4. Forslag til EUs generelle databeskyttelsesforordning . Europakommisjonen. 25. januar 2012. Hentet 3. januar 2013.
  5. EU-kommisjonens pressemelding som kunngjør den foreslåtte omfattende reformen av reglene for databeskyttelse . 25. januar 2012. Hentet 3. januar 2013.
  6. Forslaget til EUs generelle databeskyttelsesforordning. A Guide for In-House Counsel, Hunton & Williams LLP, juni 2015, s. 14
  7. ↑ a b "GDPR-forslag"
  8. ^ redaktør, Ian Sample Science (27. januar 2017). "AI-vakthund må regulere automatisert beslutningstaking, sier eksperter . " The Guardian (på britisk engelsk) . ISSN  0261-3077 . Hentet 15. juli 2017 . 
  9. ^ "EUs rett til forklaring: En skadelig restriksjon på kunstig intelligens" . www.techzone360.com (på engelsk) . Hentet 15. juli 2017 . 
  10. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28. desember 2016). Hvorfor det ikke er rett til automatisert beslutningstakingsforklaring i personvernforordningen – via SSRN. 
  11. Edwards, Lillian; Veale, Michael (2017). «Slave av algoritmen? Hvorfor "retten til en forklaring" sannsynligvis ikke er løsningen du leter etter . Duke Law and Technology Review . SSRN  2972855 . doi : 10.2139/ssrn.2972855 .  Materialet er kopiert fra denne kilden. Gjenbruk av EUR-Lex-data til kommersielle eller ikke-kommersielle formål er autorisert forutsatt at kilden er angitt.
  12. ^ "EUR-Lex – Art. 37" . eur-lex.europa.eu (på engelsk) . Hentet 23. januar 2017 .  Materialet er kopiert fra denne kilden. Gjenbruk av EUR-Lex-data til kommersielle eller ikke-kommersielle formål er autorisert forutsatt kildeangivelse.
  13. ^ "EUR-Lex - 32016R0679 - NO - EUR-Lex" . eur-lex.europa.eu (på engelsk) . Hentet 7. november 2017 .  Materialet er kopiert fra denne kilden. Gjenbruk av EUR-Lex-data til kommersielle eller ikke-kommersielle formål er autorisert forutsatt at kilden er angitt.
  14. Artikkel 8 (1): "For formålene med denne forordningen, i forhold til tilbud om informasjonssamfunnstjenester direkte til et barn, skal behandlingen av personopplysningene til et barn under 13 år bare være lovlig hvis og til i den grad samtykke er gitt eller autorisert av barnets forelder eller verge."
  15. "Hvordan den foreslåtte EUs databeskyttelsesforordning skaper en ringvirkning over hele verden" . Judy Schmitt, Florian Stahl. 11. oktober 2012. Hentet 3. januar 2013.
  16. ^ "Hvordan smarte bedrifter kan unngå GDPR-straff når de tar opp samtaler" . www.xewave.io (på britisk engelsk) . Arkivert fra originalen 14. april 2018 . Hentet 13. april 2018 . 
  17. ^ "Retningslinjer for databeskyttelsesansvarlige" . Hentet 27. august 2017 . 
  18. ↑ Datavitenskap under GDPR med pseudonymisering i datapipeline Skrevet av Dativa, 17. april 2018
  19. a b Artikkel 83, GDPR
  20. Databeskyttelsesreform: Rådet vedtar posisjon ved første lesing
  21. Vedtak av rådsposisjon ved førstebehandling Arkivert 2017-11-25 på Wayback Machine , Votewatch.eu
  22. ^ Skriftlig prosedyre 8. april 2016, Council of the European Union
  23. Databeskyttelsesreform - Stortinget godkjenner nye regler som passer for den digitale tidsalderen
  24. a b EU Official Journal utgave L 119
  25. Det digitale indre markedet på europa.eu
  26. ^ Gooch, Peter (2018). "En ny æra for personvern - GDPR seks måneder senere" . https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/risk/deloitte-uk-risk-gdpr-six-months-on.pdf ( Deloitte UK) . Hentet 15. november 2021 . 
  27. ^ "Hva smarte bedrifter kan gjøre for å unngå GDPR-straff når du tar opp samtaler " . 14. april 2018 . Hentet 15. november 2021 . 
  28. Babel CEO, Chris (11. juli 2017). "De høye kostnadene ved GDPR-overholdelse" . Dark Reading (på engelsk) . Hentet 15. november 2021 . 
  29. ^ "Forbereder for nye personvernregimer: Personverneksperters syn på den generelle databeskyttelsesforordningen og personvernskjoldet" . https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf ( bakermckenzie.com). 05.04.2016 . Hentet 15. november 2021 . 
  30. ^ "Hvordan Europas 'banebrytende' personvernlov tar på Facebook og Google" . the Guardian (på engelsk) . 19. april 2018 . Hentet 15. november 2021 . 
  31. ^ "Europas nye personvernregler er ingen sølvkule" . POLITICO (på amerikansk engelsk) . 22. april 2018 . Hentet 15. november 2021 . 
  32. ^ "Mangel på GDPR-kunnskap er en fare og en mulighet" . MicroscopeUK (på engelsk) . Hentet 15. november 2021 . 
  33. ^ Jeong, Sarah (22. mai 2018). "Ingen er klar for GDPR" . The Verge (på engelsk) . Hentet 15. november 2021 . 
  34. Edwards, Elaine. "Nye regler om databeskyttelse gir overholdelsesproblemer for firmaer" . The Irish Times (på engelsk) . Hentet 15. november 2021 . 
  35. «Ønsker du å overholde GDPR? Her er en primer om anonymisering og pseudonymisering» . Hentet 15. november 2021 . 
  36. Gorey, Colm (23. november 2017). "Er finansinstitusjoner klare for blockchain og GDPR?" . Silicon Republic (på engelsk) . Hentet 15. november 2021 . 
  37. ^ "AI-vakthund trengte for å regulere automatisert beslutningstaking, sier eksperter" . the Guardian (på engelsk) . 27. januar 2017 . Hentet 15. november 2021 . 
  38. ^ "EUs rett til forklaring: En skadelig restriksjon på kunstig intelligens" . www.techzone360.com (på engelsk) . Hentet 15. november 2021 . 
  39. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28. desember 2016). Hvorfor en rett til forklaring av automatiserte beslutninger ikke eksisterer i den generelle databeskyttelsesforordningen ( ID 2903469). Samfunnsvitenskapelig forskningsnettverk . Hentet 15. november 2021 . 
  40. Edwards, Lillian; Veale, Michael (23. mai 2017). Slave til algoritmen? Hvorfor en 'rett til forklaring' sannsynligvis ikke er løsningen du leter etter ( ID 2972855). Samfunnsvitenskapelig forskningsnettverk . Hentet 15. november 2021 . 
  41. Fimin, Michael. "Council Post: Five Benefits GDPR Compliance Will Bring to Your Business" . Forbes (på engelsk) . Hentet 15. november 2021 . 
  42. Butterworth, Trevor (26. mars 2018). "Europas tøffe nye digitale personvernlov bør være en modell for amerikanske beslutningstakere . " Vox (på engelsk) . Hentet 15. november 2021 . 
  43. Jaffe, Justin. "Hva GDPR betyr for Facebook, Google og deg" . CNET (på engelsk) . Hentet 15. november 2021 . 
  44. ^ Schulze, Elizabeth (1. april 2019). "Mark Zuckerberg sier at han ønsker strengere personvernlover i europeisk stil - men noen eksperter stiller spørsmål ved motivene hans . " CNBC (på engelsk) . Hentet 15. november 2021 . 
  45. Tiku, Nitasha. "Hvordan Europas nye personvernlov vil endre nettet og mer" . Kablet (på amerikansk engelsk) . ISSN  1059-1028 . Hentet 15. november 2021 . 
  46. «Analyse | I dag forvandler en ny EU-lov personvernrettigheter for alle. Uten Edward Snowden hadde det kanskje aldri skjedd." . Washington Post (på amerikansk engelsk) . ISSN  0190-8286 . Hentet 15. november 2021 . 
  47. ^ "Et radikalt forslag om å holde dine personlige data trygge | Richard Stallman» . the Guardian (på engelsk) . 3. april 2018 . Hentet 15. november 2021 . 

Eksterne lenker