5 lande med GDPR-lignende databeskyttelsespolitikker

GDPR og de markedsføringsmæssige konsekvenser af restriktive regler om databeskyttelse anses ofte for at være EU's begrænsede reservat.

Dette er imidlertid en misforståelse, da den EU-lovgivning drejer sig om beskyttelse af "data, der tilhører EU-borgere og personer med bopæl i EU" - og ikke kun om beskyttelse af data, der forbliver inden for EU's grænser.

I artikel 3 beskrives GDPR's territoriale anvendelsesområde i detaljer, hvilket omfatter to vigtige tilfælde, hvor GDPR er i spil uden for EU:

1. Når der tilbydes varer og tjenesteydelser til EU-borgere og personer med bopæl i EU
2. Ved overvågning af EU-borgeres og -indbyggeres onlineadfærd

Ud over disse undtagelser findes der også lignende, ofte GDPR-inspireret, lovgivning i andre dele af verden.

Hvilke andre lande har en GDPR-lignende privatlivspolitik?

1. Californien (Ja, vi ved det, ikke et land)

Den nok mest omtalte GDPR-lignende lov om beskyttelse af personlige oplysninger uden for EU er California Consumer Privacy Act (CCPA).

Selv om Californien tydeligvis er en stat og ikke et land, har populariteten af denne stats lovgivning ført til, at en række andre stater planlægger at indføre lignende politikker i 2022.

Faktisk har i alt 15 stater enten bekræftet, at der er planer om at udarbejde et lignende lovforslag i år, eller at der allerede er et lignende lovforslag under udarbejdelse.

Disse stater omfatter Maryland, Florida, Washington og Mississippi, mens der er flere andre stater, der - selv om de ikke forpligter sig til at levere i 2022 - undersøger muligheden for at følge trop.

2. Sverige (den første lov om databeskyttelse)

Så selv om Sverige naturligvis er medlem af EU og dermed falder ind under GDPR's bestemmelser, er det også værd at se tilbage på verdens første nationale lov om databeskyttelse.

Ja, tro det eller ej, men databeskyttelseslovgivningen i den digitale tidsalder nærmer sig nu selv sin 50-års fødselsdag.

Sammen med tyskerne spillede svenskerne en central rolle i den tidlige lovgivning om databeskyttelse. Dette omfattede vedtagelsen af den første nationale lov om databeskyttelse, dataloven, tilbage i 1973.

Dataloven blev udviklet for at "kriminalisere datatyveri og give de registrerede personer fri adgang til deres registre", og oprettelsen af dataloven blev katalyseret af den digitale behandling af folketællingsdata allerede i 1969.

En kombination af Sveriges tidlige indførelse af computere i det offentlige system og en kultur, der bygger på gennemsigtighed og åbenhed, banede vejen for lovgivningen.

3. Canada og PIPEDA

Canadas lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA) anses ofte for at være den lov om databeskyttelse, der ligger tættest på GDPR.

Faktisk var udviklingen af loven delvist styret af ambitionen om at formilde EU's politiske beslutningstagere og lette overførslen af data mellem Canada og EU.

Selv om den ligner GDPR, er der nogle få vigtige forskelle, hvoraf nogle anses for at være ansvarlige for at begrænse PIPEDA's internationale tiltrækningskraft.

Disse forskelle drejer sig om syv hovedområder:

1. Anvendelseskriterier
2. Ekstraterritorialitet
3. Samtykke til databehandling
4. Retten til at blive glemt
5. Dataportabilitet
6. Meddelelser om brud på datasikkerheden
7. Bøder

Hvad angår det sidste punkt, er størrelsen af bøderne i forbindelse med GDPR-overtrædelser blevet næsten legendariske og har fungeret som en vigtig katalysator for oprettelsen af GDPR-kompatible softwareløsninger og konsulentfirmaer for databehandling.

Der er en kæmpe kløft mellem de bøder, der kan pålægges i henhold til GDPR - op til 20 mio. EUR eller 4 % af den årlige verdensomsætning - og PIPEDA-bøder, der er begrænset til 100 000 CAD$ (ca. 70 000 EUR).

PIPEDA bygger på de 10 principper for fair information:

1. Ansvarlighed
2. Identificering af de formål, som personoplysningerne indsamles til
3. Individers samtykke til indsamling, brug eller videregivelse af personoplysninger
4. Begrænsning af dataindsamling til det, der er nødvendigt for det formål, som organisationen har identificeret
5. Begrænsning af brug, videregivelse og opbevaring
6. nøjagtighed af personlige oplysninger
7. Beskyttelse af personlige oplysninger mod tab eller tyveri, uautoriseret adgang osv.
8. Åbenhed om politikker og praksis i forbindelse med forvaltning af personoplysninger
9. Individuel adgang efter anmodning
10. Udfordring af overholdelse af PIPEDA's principper

4. Israel

Når vi ser på Mellemøsten og Afrika som helhed, er der flere forskellige lande og regioner, der har indført databeskyttelseslove.

Israels databeskyttelsesregler anses for at være de mest tilpassede til GDPR, selv om de indeholder flere elementer - såsom regler om adgangskoder og penetrationstest (eller pen-test) - som ikke findes i EU-lovgivningen.

På trods heraf anses Israels databeskyttelseslove for at være tilstrækkelige af Europa-Kommissionen (EC) og gør det således muligt at behandle data fra EU-borgere.

Det bringer landet sammen med kun 13 andre "tredjelande" med et af EU bekræftet databeskyttelsesniveau. Blandt de øvrige lande er New Zealand, Canada (som nævnt ovenfor), Sydkorea og Det Forenede Kongerige.

Der er også blevet foretaget flere opdateringer af disse love i de seneste år, og så sent som i januar 2022 blev der offentliggjort et nyt lovforslag, der søger at bringe den noget forældede lov om beskyttelse af privatlivets fred på linje med den digitale tidsalder.

Ud over Israel omfatter Mellemøstens lande med en eller anden form for national lov om beskyttelse af privatlivets fred Bahrain, Qatar og Tyrkiet - sidstnævnte har i vid udstrækning været baseret på GDPR-versionen fra før 2018.

5. Kenya (og Den Afrikanske Union)

Den Afrikanske Union (AU) vedtog den GDPR-lignende konvention om cybersikkerhed og beskyttelse af personoplysninger tilbage i 2014 med henblik på at tvinge de enkelte AU-lande til at vedtage nationale love om beskyttelse af privatlivets fred.

På trods af dette har initiativet haft ret hæmmede fremskridt, idet kun fem lande har fulgt trop ved at udvikle og vedtage deres egne love om beskyttelse af privatlivets fred.

Disse omfatter Kenyas databeskyttelseslov, som trådte i kraft i 2019 og er blevet udviklet og forbedret i den efterfølgende tid.

Ved vedtagelsen udtalte Joe Mucheru, Kenyas minister for information, teknologi og kommunikation, at "Kenya har sluttet sig til det globale samfund med hensyn til databeskyttelsesstandarder".

Andre afrikanske lande, der har vedtaget en eller anden form for databeskyttelseslovgivning, er Nigeria, Mauritius, Sydafrika og Uganda.

Andre nationale love om databeskyttelse og hvad der venter forude

Ud over disse fem eksempler er der flere andre lande, der har vedtaget GDPR-lignende databeskyttelseslove.

Som nævnt tidligere i artiklen har i alt 14 tredjelande standarder, der anses for at være kompatible og i overensstemmelse med GDPR.

Ud over de tidligere nævnte lande har andre lande, der har lignende databeskyttelseslove, Japan, Brasilien, Uruguay, Schweiz, Andorra, Andorra, Færøerne, Guernsey, Isle of Man, Jersey og Argentina.

Da emnet digital databeskyttelse og privatlivets fred bliver et stadig mere globalt og bredt diskuteret emne, er det sandsynligt, at flere lande vil blive tvunget til at vedtage eller forbedre lignende love inden længe.