Skip to main content

5 land med GDPR-lignende retningslinjer for personvern

    GDPR, og markedsføringsimplikasjonene av restriktive datavernforskrifter, anses ofte for å være EUs begrensede reserve.

    Dette er imidlertid noe av en misforståelse, med den EU-etablerte lovgivningen som dreier seg om beskyttelse av "data som tilhører EU-borgere og innbyggere" - og ikke bare beskyttelse av data som forblir innenfor EUs grenser.

    Artikkel 3 skisserer faktisk det territorielle omfanget av GDPR, som inkluderer to viktige tilfeller der GDPR er i bruk utenfor EU:

    1. Når du tilbyr varer og tjenester til EU-borgere og innbyggere
    2. Når du overvåker nettadferden til EU-borgere og innbyggere

    Utover disse unntakene er det også eksistensen av lignende, ofte GDPR-inspirert, lovgivning i andre deler av verden.

    Hvilke andre land har en GDPR-lignende personvernerklæring?

    1. California (Ja, vi vet, ikke et land)

    Sannsynligvis den mest omtalte GDPR-aktige personvernloven utenfor EU er California Consumer Privacy Act(CCPA).

    Selv om California helt klart er en stat og ikke et land, har populariteten til denne delstatslovgivningen ført til at en rekke andre stater planlegger utrullingen av lignende retningslinjer i 2022.

    Faktisk har totalt 15 staterenten bekreftet at utformingen av et lignende lovforslag er planlagt i år, eller har et lignende lovforslag allerede under behandling.

    Slike stater inkluderer Maryland, Florida, Washington og Mississippi, mens det er flere andre som – selv om de ikke forplikter seg til levering i 2022 – utforsker potensialet for å følge etter.

    2. Sverige (den første loven om personvern)

    Så selv om Sverige selvfølgelig er medlem av EU og dermed faller inn under bestemmelsen i GDPR, er det også verdt å se tilbake til verdens første nasjonale personvernlov.

    Ja, tro det eller ei, loven om personvern i den digitale tidsalderen nærmer seg nå sin 50-årsdag.

    Sammen med tyskerne spilte svenskene en nøkkelrolle i tidlig lov om personvern. Dette inkluderte vedtakelsen av den første nasjonale personvernloven, dataloven, tilbake i 1973.

    Utviklet for å "kriminalisere datatyveri og gi registrerte frihet til å få tilgang til sine poster", ble opprettelsen av dataloven katalysert av digital behandling av folketellingsdata så tidlig som i 1969.

    En kombinasjon av Sveriges tidlige bruk av datamaskiner i offentlige embeter og en kultur bygget på åpenhet og åpenhet banet vei for lovgivningen.

    3. Canada og PIPEDA

    Canadas lov om beskyttelse av personopplysninger og elektroniske dokumenter(PIPEDA) anses ofte for å være den personvernloven som er nærmest GDPR.

    Faktisk ble utviklingen av loven delvis styrt av ambisjonen om å blidgjøre EUs beslutningstakere og lette overføringen av data mellom Canada og EU.

    Selv om det ligner på GDPR, er det noen få nøkkeldifferensiatorer, hvorav noen anses å være ansvarlige for å begrense PIPEDAs internasjonale appell.

    Disse forskjellene dreier seg om syv hovedområder:

    1. Anvendelseskriterier
    2. Ekstraterritorialitet
    3. Samtykke til databehandling
    4. Retten til å bli glemt
    5. Dataportabilitet
    6. Varsler om databrudd
    7. Bøter

    På det siste punktet har størrelsen på bøter knyttet til GDPR-brudd blitt nesten legendarisk og fungert som en nøkkelkatalysator for å lage GDPR-kompatible programvareløsninger og databehandlingskonsulenter.

    Det er en gigantisk kløft mellom bøtene som kan ilegges gjennom GDPR – opptil €20 millioner eller 4 % av årlig verdensomspennende omsetning – og PIPEDA-bøter, som er begrenset til CAD$100.000 (ca. €70.000).

    PIPEDA er bygget på sine 10 rettferdige informasjonsprinsipper:

    1. Ansvarlighet
    2. Identifisere formål som personopplysninger samles inn for
    3. Enkeltpersoners samtykke til innsamling, bruk eller utlevering av personlig informasjon
    4. Begrense datainnsamlingen til det som er nødvendig for formålet identifisert av organisasjonen
    5. Begrenser bruk, avsløring og oppbevaring
    6. Nøyaktighet av personlig informasjon
    7. Sikring av personopplysninger mot tap eller tyveri, uautorisert tilgang mv.
    8. Åpenhet om retningslinjer og praksis knyttet til håndtering av personopplysninger
    9. Individuell tilgang på forespørsel
    10. Utfordrende etterlevelse av PIPEDAs prinsipper

    4. Israel

    Når vi ser på Midtøsten og Afrika som helhet, er det flere forskjellige land og regioner som har etablert lover om personvern.

    Israels datasikkerhetsforskrifter anses å være de mest i samsvar med GDPR, til tross for at de inneholder flere funksjoner – for eksempel regler om passord og penetrasjonstesting (eller penne)-testing – som ikke finnes i EU-loven.

    Til tross for dette anses Israels databeskyttelseslover som tilstrekkelige av EU-kommisjonen (EC) og muliggjør dermed behandling av EU-bosatte data.

    Dette setter landet sammen med bare 13 andre "tredjeland" med et EU-bekreftet nivå av databeskyttelse. Andre inkluderer New Zealand, Canada (som nevnte), Sør-Korea og Storbritannia.

    Det har også vært flere oppdateringer av disse lovene de siste årene, med et nytt utkast til lovforslag som søker å bringe den noe arkaiske personvernloven i tråd med den digitale tidsalderen publisert så sent som i januar 2022.

    Bortsett fra Israel, inkluderer Midtøsten-land med en form for nasjonal personvernlovgivning Bahrain, Qatar og Tyrkia - sistnevnte har i stor grad vært basert på før-2018-versjonen av GDPR.

    5. Kenya (og Den afrikanske union)

    Den afrikanske union (AU) vedtok den GDPR-lignende konvensjonen om cybersikkerhet og beskyttelse av personopplysninger tilbake i 2014, med den hensikt å tvinge individuelle AU-land til å vedta nasjonale personvernlover.

    Til tross for dette har initiativet hatt en ganske forsinket fremgang, med bare fem land som fulgte etter ved å utvikle og vedta egne personvernlover.

    Disse inkluderer Kenyas databeskyttelseslov, som trådte i kraft i 2019 og har blitt utviklet og forbedret i tiden siden.

    Da han gikk over, uttalte Joe Mucheru, Kenyas minister for informasjon, teknologi og kommunikasjon at "Kenya har sluttet seg til det globale fellesskapet når det gjelder databeskyttelsesstandarder".

    Andre afrikanske land som har vedtatt en form for personvernlovgivning inkluderer Nigeria, Mauritius, Sør-Afrika og Uganda.

    Andre nasjonale lover om personvern og hva som ligger foran oss

    Foruten disse fem eksemplene, er det flere andre land som har vedtatt GDPR-lignende personvernlover.

    Som nevnt tidligere i artikkelen har totalt 14 tredjeland standarder som anses for å være kompatible, og i samsvar med GDPR.

    I tillegg til de tidligere nevnte, inkluderer andre land som har lignende personvernlovgivning Japan, Brasil, Uruguay, Sveits, Andorra, Færøyene, Guernsey, Isle of Man, Jersey og Argentina.

    Ettersom temaet digital databeskyttelse og personvern blir et stadig mer globalt og mye diskutert tema, er det sannsynlig at flere land vil bli pålagt å vedta eller forbedre lignende lover innen altfor lenge.