GDPR definerer "personlige data" som:
"Personopplysninger" betyr opplysninger om en identifisert eller identifiserbar fysisk person ("registrert"). En identifiserbar person er en som kan identifiseres, direkte eller indirekte, særlig ved henvisning til en av følgende identifikatorer.
- Navn.
- Identifikasjonsnummer.
- Plasseringsdata.
- Online identifikator.
- Faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.
Informasjon beskyttet av GDPR inkluderer personens navn, alder, kjønn, postadresse, e-postadresse og medisinsk historie. Det beskytter selv sine liker og misliker (for eksempel, hvilke filmer, musikk eller typer mat de liker, hvem deres Facebook-venner er, og hvilke Twitter-kontoer de følger).
Organisasjoner innenfor og utenfor EU må overholde GDPR når de samler, lagrer eller overfører personopplysninger knyttet til EU-borgere. Bedrifter må overholde GDPR med hensyn til både kunder og ansatte.
Enhver person eller bedrift som håndterer personopplysninger, hadde til 28. mai 2018, for å begynne å følge GDPR-reglene. Det eksisterer en toårig "grace period" for å lette overgangen til GDPR.
Noen av de nye lovene GDPR håndhever inkluderer:
- Bedrifter må gi mulighet for folk til å se, laste ned og slette data om seg selv som er lagret på selskapets servere.
- Hvis et selskap har et brudd på data, må det avsløres innen 72 timer etter at det er oppdaget.
En virksomhet funnet i strid med noen av de nye lovene er underlagt bøter så høy som 20 millioner euro eller 4% av selskapets globale inntekter.
Datafortikasjoner, Elektronisk, E-post, Internett-vilkår, Personvern