Bland förvirring träder EU: s dataskyddslagstiftning i kraft

Europeiska unionens flaggor fladdrar utanför Europeiska centralbankens (ECB) huvudkontor i Frankfurt, Tyskland. (Bild: Reuters)

Lars Andersens verksamhet hanterar några av de mest känsliga uppgifter som finns – barnens namn och telefonnummer. Ägaren till Londonbaserade My Nametags, som gör personliga namnskyltar för att stryka till barnkläder, säger att skydd av denna information är grundläggande för hans verksamhet, som verkar i 130 länder. Men från och med fredag ​​måste My Nametags och de flesta andra företag som samlar in eller behandlar personuppgifter för EU-invånare vidta ett antal extra försiktighetsåtgärder för att följa den nya Allmänna dataskyddsförordningen, som EU kallar den mest omfattande förändringen av dataskyddsreglerna i en generation.

Medan lagstiftningen har applåderats för att ta itu med den taggiga frågan om integritet för personuppgifter, orsakar också lanseringen förvirring. Företagen försöker förstå vilken skyddsnivå olika uppgiftsbehov har, om detta kan tvinga dem att förändra sättet att göra affärer och förnya, och hur man hanterar EU: s 28 nationella datatillsynsmyndigheter, som tillämpar lagen. “När du försöker kodifiera andan (av lagen) – då får du oavsiktliga konsekvenser”, sa Andersen. ”Det har varit en utmaning för oss: Vad måste jag göra? Det finns en miljon slags svar. ”

Denna osäkerhet, tillsammans med hårda påföljder för brott mot lagen, har övertygat internetbaserade företag som Unroll.me, ett företag för inkorgshantering och spelföretaget Ragnarok Online att blockera EU-användare från sina webbplatser. Pottery Barn, en arm från San Francisco-baserade hushållsbutiker Williams-Sonoma Inc, sa att den inte längre skulle skickas till EU-adresser. Tidningen Los Angeles Times sa att den tillfälligt sätter sin webbplats utanför gränserna i de flesta EU-länder. Implementeringen av GDPR har också gjort dataskydd till en fråga i kontraktsförhandlingar eftersom företag argumenterar för hur man kan dela upp ansvaret för eventuella dataintrång.

“Erbjudanden hålls uppe av dataskyddet”, säger Phil Lee, en partner inom sekretesssäkerhet och information på Fieldfisher, ett advokatbyrå med kontor i 18 EU-städer. “Om något går fel, vad händer?”

EU-länderna själva är inte helt redo för de nya reglerna. Mindre än hälften av de 28 medlemsstaterna har antagit nationella lagar för att genomföra GDPR, även om eftersläpare förväntas göra det under de närmaste veckorna, enligt WilmerHale, ett internationellt advokatbyrå. Som med de flesta EU-omfattande förordningar, tillämpas de nya dataskyddsreglerna på nationella myndigheter. Medan EU betonar att lagen gäller alla, är en av de stora utestående frågorna om tillsynsmyndigheter kommer att följa någon enhet som bryter mot lagen eller helt enkelt fokusera på datagiganter som Google och Facebook. Advokater säger också att det ännu inte är klart hur tillsynsmyndigheter kommer att tolka det ibland allmänna språket som skrivs in i lagen. Till exempel säger lagen att behandling av personuppgifter måste vara ”rättvis” och att uppgifter ska hållas ”inte längre än nödvändigt.”

“Det är dags att ta på sig säkerhetsbältet och kontrollera krockkudden”, säger D Reed Freeman Jr, en integritets- och cybersäkerhetsexpert på WilmerHale. ”Det är ungefär som en lift med en raket. Det är på väg att lanseras. ”

Facebook är en av de största sociala medieplattformarna som för närvarande är tillgängliga för användare

Andersen från My Nametags sa att lagen redan har orsakat problem för hans verksamhet. Han har uppmanats att företagets webbplats i Nederländerna måste skilja sig från den i Storbritannien eftersom de två länderna sannolikt kommer att tillämpa lagen annorlunda och har en tvist med en leverantör om vilken av dem som är ansvarig för att skydda vissa uppgifter . Storbritanniens informationskommissionär Elizabeth Denham har försökt lindra problem och säger att det viktigaste är att företag gör sitt bästa för att följa lagen och samarbeta med myndigheter för att rätta till eventuella problem.

“Vi är stolta över att vara en rättvis och proportionerlig tillsynsmyndighet och detta kommer att fortsätta enligt GDPR”, sa Denham i ett blogginlägg. “De som självrapporterar, som samarbetar med oss ​​för att lösa problem och som kan visa effektiva ansvarsförhållanden kan förvänta sig att detta beaktas när vi överväger några regleringsåtgärder.”

Läs också: GDPR är här: Röra dig och vi kommer att böta dig, varnar EU: s integritetschef

Den nya lagen kommer vid en tidpunkt då tekniska framsteg gör data mer värdefulla och därför höjer insatserna när det gäller att skydda dem. Förmågan att analysera allt från konsumentköp till medicinska register innehåller enorm potential, med förslag om att det kommer att göra oss friskare, förbättra trafikflöden och andra bra saker för samhället. Samtidigt ger det företag enorma nya möjligheter till vinst, med vissa experter som sätter värdet av den globala dataekonomin på $ 3 biljoner dollar. Denna potential understryks av förändringar i listan över världens mest värdefulla företag, som en gång dominerades av energi- och industriföretag. Nu har Apple, Alphabet, Microsoft, Amazon och Facebook fem av de sex bästa platserna.

“Data är den nya marken”, säger Adam Schlosser, projektledaren för digitala flöden och handelsflöden vid World Economic Forum. “Det fungerar som ett grundläggande element för tillväxt.”

Läs också: När EU: s nya GDPR-regler träder i kraft inspirerar e-postens tsunami roligt memefest på Twitter

Men med den potentialen kommer oro att data kan användas för privat vinning, vilket hotar personliga integritetsrättigheter. Påståenden om att den politiska konsulten Cambridge Analytica använde data som skördats från Facebook-konton för att hjälpa Donald Trump med presidentvalet 2016 gav ett påtagligt exempel på rädslan som uppmärksammades av integritetskampanjer. Andersen fruktar att “tvivelaktiga operatörer” kommer att fortsätta att strida mot reglerna, men han hoppas att publicitet kring GDPR hjälper till att visa att han tar dataskydd på allvar – att han känner igen informationen bakom namnetiketter dekorerade med muffins, enhörningar och smileys är något att vara skyddad.

“När det gäller datadelar som du inte vill gå vilse är dina barns information typ av kärnan i det”, säger Andersen. “På ett sätt är det därför vi som företag har varit framgångsrika – (genom) att försöka behandla våra kunder som föräldrar på det sätt som jag skulle vilja behandlas som en förälder.”