WTF is GDPR?

https://techcrunch.com/2018/01/20/wtf-is-gdpr/
GDPR is a significant piece of legislation whose full impact will clearly take some time to shake out.
A major point of note right off the bat is that GDPR does not merely apply to EU businesses; any entities processing the personal data of EU citizens need to comply. The extra-territorial scope of GDPR casts the European Union as a global pioneer in data protection. Also under GDPR, financial penalties for data protection violations step up massively.
GDPR aims to have every link in the processing chain be a robust one. Companies need to maintain up-to-date records to prove out their compliance and to appoint a data protection officer if they process sensitive data on a large scale or are collecting info on many consumers.
GDPR’s running emphasis on data protection via data security it is implicitly encouraging the use of encryption above and beyond a risk reduction technique. Another major change incoming via GDPR is ‘privacy by design’ no longer being just a nice idea; privacy by design and privacy by default become firm legal requirements.
GDPR also encourages the use of pseudonymization — such as, for example, encrypting personal data and storing the encryption key separately and securely — as a pro-privacy, pro-security technique that can help minimize the risks of processing personal data. Data has to be rendered truly anonymous to be outside the scope of the regulation.

313 Comments

  1. Tomi Engdahl says:

    Daphne Leprince-Ringuet / ZDNet:
    EU member states approve unimpeded data flows between EU and UK, deciding UK’s regulations are as good as GDPR, avoiding complex legal paperwork for businesses

    A major international data flow problem just got resolved. But another row is already brewing
    https://www.zdnet.com/article/a-major-international-data-flow-problem-just-got-resolved-but-another-row-is-already-brewing/

    The EU has just green-lighted the free flow of personal data with the UK. But if the country now changes its data laws, it could bring an end to the agreement.

    Reply
  2. Tomi Engdahl says:

    Clothilde Goujard / Politico:
    EU’s new law will let tech companies scan their platforms for child sexual abuse material for the next three years without fear of violating EU’s privacy laws — The European Parliament on Tuesday approved a controversial law that would allow digital companies to detect and report child sexual abuse …

    EU Parliament lets companies look for child abuse on their platforms, with reservations
    Privacy-conscious lawmakers say the rules are ‘legally flawed’ and endanger privacy.
    https://www.politico.eu/article/european-parliament-platforms-child-sexual-abuse-reporting-law/

    Reply
  3. Tomi Engdahl says:

    https://m.facebook.com/story.php?story_fbid=10158532445378590&id=152072273589

    Traficom julkaisee loppukesästä uuden evästeohjeistuksen. Luonnos on nyt kommentoitavana 9.8.2021 saakka. Blogissa analyysia luonnoksen yksityiskohdista.

    Lyhyesti: ehdotettu malli on erittäin tiukka malli, jossa käytännössä 99% Suomen sivustoista joutuisi kysymään lupaa evästeisiin.

    On vaikea kannattaa mallia, joka on noin tiukka, koska tämän jälkeen viimeistään käyttäjät lakkaavat välittämästä heitä kiusaavista kyselyistä. Fiksumpaa olisi, jos ainakin analytiikka sallittaisiin välttämättömyytenä, jolloin ainakin julkishallinto voisi suurimmaksi osin olla kyselemättä lupia evästeisiin.

    Ehdotus on silti paljon enemmän oikein kuin väärin, jos vertaa aiempaan tilaan. Ehdotus tuleekin muuttamaan Suomen evästebannerit aivan totaalisesti, jos toteutuu nykymuodossaan (olettaen, että valvontaakin on).

    Nykymuotoinen ehdotus iskee esimerkiksi mediataloihin ja verkkokauppoihin erittäin kovaa, koska jatkossa käyttäjille on tarjottava yhtä helppo valinta hyväksyä vain välttämättömät kuin hyväksyä kaikki.

    Tulee olemaan mielenkiintoista myös seurata, että kiinnostaako mediataloja ja verkkokauppoja muuttaa omia evästebannereitaan uuden tiukan ohjeistuksen mukaisiksi!

    Kuuma evästekesä 2021 on selvästi käynnissä! Kannattaa kommentoida!

    Traficom pyytää kommentteja uuden evästeohjeistuksen luonnoksesta
    https://vierityspalkki.fi/2021/07/27/traficom-pyytaa-kommentteja-uuden-evasteohjeistuksen-luonnoksesta/?fbclid=IwAR1dFOblTnwfx0dchHn4vZUl1LM68v4rjJLgouMtJSVFXj6SvouS76IEy0A

    Reply
  4. Tomi Engdahl says:

    EU hits Amazon with record-breaking $887M GDPR fine over data misuse
    https://techcrunch.com/2021/07/30/eu-hits-amazon-with-record-breaking-887m-gdpr-fine-over-data-misuse/?tpcc=ECFB2021

    Luxembourg’s National Commission for Data Protection (CNPD) has hit Amazon with a record-breaking €746 million ($887 million) GDPR fine over the way it uses customer data for targeted advertising purposes.

    The penalty is the result of a 2018 complaint by French privacy rights group La Quadrature du Net, a group that claims to represent the interests of thousands of Europeans to ensure their data isn’t used by Big Tech companies to manipulate their behavior for political or commercial purposes. The complaint, which also targets Apple, Facebook Google and LinkedIn and was filed on behalf of more than 10,000 customers, alleges that Amazon manipulates customers for commercial means by choosing what advertising and information they receive.

    La Quadrature du Net welcomed the fine issued by the CNPD, which “comes after three years of silence that made us fear the worst.”

    “The model of economic domination based on the exploitation of our privacy and free will is profoundly illegitimate and contrary to all the values that our democratic societies claim to defend,” the group added in a blog post published on Friday.

    https://www.laquadrature.net/2021/07/30/amende-de-746-millions-deuros-contre-amazon-suite-a-nos-plaintes-collectives/

    Reply
  5. Tomi Engdahl says:

    When the GDPR Meets (Public) Blockchains: Looking through the Lens of Public Communications to Users
    https://pentestmag.com/when-the-gdpr-meets-public-blockchains-looking-through-the-lens-of-public-communications-to-users/

    Reply
  6. Tomi Engdahl says:

    Amazon fined $887 million over EU privacy violations https://therecord.media/amazon-fined-887-million-over-eu-privacy-violations/
    Luxembourgs data privacy regulator hit tech giant Amazon with a 746 million fine ($887 million) over claims that the companys processing of personal data did not comply with the European Unions General Data Protection Regulation. It is by far the largest-ever fine issued under the GDPR.. An Amazon spokesperson said the decision is without merit and plans to appeal

    Reply
  7. Tomi Engdahl says:

    Madhumita Murgia / Financial Times:
    UK ICO’s Age Appropriate Design Code, aimed at protecting data and limiting ads for kids, comes into effect next Thursday, with large fines for non-compliance

    UK targets social media and gaming with new Children’s Code
    Legislation aims to stop companies targeting children with ads and nudging them to stay online
    https://www.ft.com/content/705e0468-bfcf-4f5d-b777-c25785d950cb

    The UK will target social media companies, video streaming and gaming platforms as a sweeping set of new regulations to protect children’s data online comes into force on Thursday next week.

    The rules proposed by the UK regulator, the Information Commissioner’s Office, seek to limit companies from tracking the location of children, personalising content or advertising for them, and serving up behavioural nudges, such as automatically playing videos.

    “We have identified that currently, some of the biggest risks come from social-media platforms, video and music streaming sites and video gaming platforms,” said Stephen Bonner, the ICO’s executive director of regulatory futures. “This may include inappropriate adverts; unsolicited messages and friend requests; and privacy-eroding nudges urging children to stay online.”

    Reply
  8. Tomi Engdahl says:

    Alex Hern / The Guardian:
    UK government says it will move away from EU’s GDPR after Brexit, including possibly ending cookie consent popups, and names John Edwards as preferred ICO head

    UK to overhaul privacy rules in post-Brexit departure from GDPR
    https://www.theguardian.com/technology/2021/aug/26/uk-to-overhaul-privacy-rules-in-post-brexit-departure-from-gdpr

    Culture secretary says move could lead to an end to irritating cookie popups and consent requests online

    Reply
  9. Tomi Engdahl says:

    Viranomainen antaa evästeiden käytölle uudet ohjeet tarkoitettu suositusluonteiseksi dokumentiksi
    https://www.tivi.fi/uutiset/tv/257a12d0-e6f1-45e8-8ed6-02a726639afa
    Liikenne- ja viestintävirasto Traficom on valmistellut palveluntarjoajille ja loppukäyttäjille tarkoitettuja ohjeistuksia yhteistyössä tietosuojavaltuutetun toimiston kanssa. Hankkiakseen lisäviisautta se pyysi kesän mittaan julkisia kommentteja valmisteilla oleviin ohjeisiin. Ohjeistuksen piti alun alkaen valmistua kesän aikana, mutta vielä ei ole aivan valmista. Kommenttien alkuperäinen määräaika oli elokuun 9. päivä. Osa toimijoista pyysi kesälomien takia lisäaikaa lausunnon toimittamiseen.

    Reply
  10. Tomi Engdahl says:

    Sam Schechner / Wall Street Journal:
    Ireland’s Data Protection Commission, on behalf of the EU, fines WhatsApp €225M for privacy violations, the second-largest fine under GDPR; WhatsApp will appeal — Regulators say chat-service unit failed to disclose fully how it collected and shared data about its users

    Facebook’s WhatsApp Fined Around $270 Million for EU Privacy Violations
    https://www.wsj.com/articles/facebooks-whatsapp-fined-around-270-million-for-eu-privacy-violations-11630576800?mod=djemalertNEWS

    Regulators say chat-service unit failed to disclose fully how it collected and shared data about its users

    Reply
  11. Tomi Engdahl says:

    Käytätkö pilvipalveluja USA:sta – lue miksi viranomainen on sinusta nyt kiinnostunut
    https://www.opsec.fi/fi/2021/08/25/kaytatko-pilvipalveluja-usasta-lue-miksi-viranomainen-on-sinusta-nyt-kiinnostunut/

    EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietoja ei saa “siirtää” ETA-maiden ulkopuolelle tai kansainvälisille järjestöille, ellei henkilötiedoille voida taata yhtä hyvää suojaa, kuin mitä ne saavat EU:ssa.

    Aihe tuli erityisen ajankohtaiseksi kesällä 2020, kun EU:n tuomioistuin kumosi EU:n ja Yhdysvaltojen välisen Privacy Shield -sopimuksen, jonka avulla yritykset saivat aikaisemmin siirtää henkilötietoja Yhdysvaltoihin. Nyt järjestely on kumottu ja Euroopan tietosuojaneuvosto on julkaissut uudet ohjeet, miten muuttuneessa tilanteessa on jatkossa toimittava.

    Henkilötietojen “siirtämistä” ovat kaikki tilanteet, joissa henkilötietoja tallennetaan tai niitä voidaan tarkastella ETA-maiden ulkopuolelta. Siirtoja koskevat säännöt vaikuttavat käytännössä kaikkiin suomalaisiin yrityksiin: jos yritys käyttää mitään ostettuja ohjelmistoja, on todennäköistä, että yritys tekee siirtoja ETA-maiden ulkopuolelle. Jos henkilötietoja siirretään ETA-maiden ulkopuolelle ilman tietosuojaneuvoston ohjeiden noudattamista, voi tietosuojaviranomainen määrätä tästä hallinnollisen sakon tai määrätä siirron keskeytettäväksi ja kieltää yrityksen liiketoiminnalle kriittisen ohjelmiston käyttämisen. Nyt tietosuojavaltuutettu on ilmoittanut aloittavansa näiden sääntöjen tehokkaan valvonnan. Tämä tarkoittaa sitä, että yritysten tulisi viimeistään nyt tunnistaa omat siirtonsa ETA-maiden ulkopuolelle ja varmistaa niiden lainmukaisuus.

    Mitä yrityksen pitää käytännössä tehdä?
    Yrityksen täytyy seurata Euroopan tietosuojaneuvoston kansainvälisiä siirtoja koskevia ohjeita. Ohjeissa esitellään step-by-step -vaiheet, joiden avulla yritys voi määrittää, onko siirto ETA-maiden ulkopuolelle riittävän turvallinen ja sitä kautta lainmukainen. Vaiheiden läpikäynti on monimutkainen harjoitus, mutta tukea löytyy – esimerkiksi tietosuojavaltuutettu on julkaissut ohjeistusta ja aina voi kääntyä myös asiantuntijan puoleen.

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

*

*