5 länder med GDPR-liknande dataskyddspolicyer

GDPR, och de marknadsföringsmässiga konsekvenserna av restriktiva bestämmelser om dataskydd, anses ofta vara Europeiska unionens begränsade reserv.

Detta är dock något av en missuppfattning, eftersom den EU-grundade lagstiftningen kretsar kring skyddet av "uppgifter som tillhör EU-medborgare och personer som är bosatta i EU" - och inte bara skyddet av uppgifter som stannar inom EU:s gränser.

I artikel 3 beskrivs i detalj GDPR:s territoriella räckvidd, vilket inkluderar två viktiga fall där GDPR är tillämplig utanför EU:

1. När man erbjuder varor och tjänster till EU-medborgare och personer bosatta i EU.
2. När man övervakar EU-medborgares och andra EU-medborgares beteende på nätet.

Utöver dessa undantag finns det också liknande, ofta GDPR-inspirerad, lagstiftning i andra delar av världen.

Vilka andra länder har en GDPR-liknande sekretesspolicy?

1. Kalifornien (Ja, vi vet, inte ett land)

Den troligen mest omtalade GDPR-liknande integritetslagen utanför EU är California Consumer Privacy Act (CCPA).

Även om Kalifornien uppenbarligen är en delstat och inte ett land har populariteten för denna delstatslagstiftning lett till att ett antal andra delstater planerar att införa liknande policyer under 2022.

Totalt 15 stater har antingen bekräftat att de planerar att utarbeta ett liknande lagförslag i år eller att de redan har ett liknande lagförslag på gång.

Bland dessa stater finns Maryland, Florida, Washington och Mississippi, medan det finns flera andra stater som - även om de inte har åtagit sig att leverera 2022 - undersöker möjligheten att följa efter.

2. Sverige (den första lagen om dataskydd)

Så även om Sverige naturligtvis är medlem i Europeiska unionen och därmed omfattas av GDPR:s bestämmelser, är det också värt att titta tillbaka på världens första nationella dataskyddslag.

Ja, tro det eller ej, men dataskyddslagstiftningen i den digitala tidsåldern närmar sig nu i sig själv sin 50-årsdag.

Tillsammans med tyskarna spelade svenskarna en nyckelroll i den tidiga lagstiftningen om dataskydd. Bland annat antogs den första nationella dataskyddslagen, datalagen, redan 1973.

Datalagen, som utvecklades för att "kriminalisera datastöld och ge de registrerade fri tillgång till sina uppgifter", skapades som en katalysator för skapandet av datalagen på grund av den digitala bearbetningen av folkräkningsuppgifter redan 1969.

En kombination av Sveriges tidiga införande av datorer i offentliga tjänster och en kultur som bygger på insyn och öppenhet banade väg för lagstiftningen.

3. Kanada och PIPEDA

Kanadas lag om skydd av personuppgifter och elektroniska dokument (PIPEDA) anses ofta vara den lag om dataskydd som ligger närmast GDPR.

Faktum är att utvecklingen av lagen delvis styrdes av ambitionen att blidka EU:s beslutsfattare och underlätta överföringen av uppgifter mellan Kanada och EU.

Även om den liknar GDPR finns det några viktiga skillnader, varav några anses vara ansvariga för att PIPEDA:s internationella attraktionskraft begränsas.

Dessa skillnader kretsar kring sju huvudområden:

1. Kriterier för tillämplighet
2. Extraterritorialitet
3. Samtycke till behandling av uppgifter
4. Rätten att bli bortglömd
5. Överföring av uppgifter
6. Anmälan om dataintrång
7. Böter

När det gäller den sista punkten har storleken på böterna i samband med GDPR-överträdelser blivit nästan legendarisk och fungerat som en viktig katalysator för skapandet av GDPR-kompatibla programvarulösningar och konsultföretag för databehandling.

Det finns en enorm klyfta mellan de böter som kan åläggas genom GDPR - upp till 20 miljoner euro eller 4 % av den globala årsomsättningen - och PIPEDA-böter, som är begränsade till 100 000 CAD-dollar (ca 70 000 euro).

PIPEDA bygger på de tio principerna för rättvis information:

1. Ansvarsskyldighet
2. Identifiering av de syften för vilka personuppgifter samlas in.
3. Individens samtycke till insamling, användning eller utlämnande av personuppgifter.
4. Begränsning av insamlingen av uppgifter till vad som är nödvändigt för det syfte som fastställts av organisationen.
5. Begränsning av användning, utlämnande och lagring.
6. Personuppgifternas riktighet
7. Skydd av personuppgifter mot förlust eller stöld, obehörig åtkomst osv.
8. Öppenhet när det gäller politik och praxis för hantering av personuppgifter.
9. Individuell tillgång på begäran
10. Utmaning av efterlevnaden av PIPEDA:s principer

4. Israel

När vi tittar på Mellanöstern och Afrika som helhet finns det flera olika länder och regioner som har infört lagar om dataskydd.

Israels föreskrifter om datasäkerhet anses vara de som är mest anpassade till GDPR, trots att de innehåller flera funktioner - såsom regler om lösenord och penetrations- (eller penna-) tester - som inte finns i EU-lagstiftningen.

Trots detta anses Israels dataskyddslagar vara adekvata av Europeiska kommissionen (EG) och möjliggör därmed behandling av uppgifter från personer med hemvist i EU.

Detta placerar landet vid sidan av endast 13 andra "tredjeländer" med en av EU bekräftad nivå av uppgiftsskydd. Övriga länder är Nya Zeeland, Kanada (som tidigare nämnts), Sydkorea och Storbritannien.

Det har också gjorts flera uppdateringar av dessa lagar under de senaste åren, och så sent som i januari 2022 offentliggjordes ett nytt utkast till lagförslag som syftar till att anpassa den något ålderdomliga lagen om integritetsskydd till den digitala tidsåldern.

Förutom Israel finns det i Mellanöstern länder som har någon form av nationell integritetsskyddslagstiftning, bland annat Bahrain, Qatar och Turkiet - den sistnämnda har till stor del baserats på den version av GDPR som fanns före 2018.

5. Kenya (och Afrikanska unionen)

Afrikanska unionen (AU) antog den GDPR-liknande konventionen om cybersäkerhet och skydd av personuppgifter redan 2014, med avsikt att tvinga enskilda AU-länder att anta nationella integritetslagar.

Trots detta har initiativet haft ganska svaga framsteg, och endast fem länder har följt efter och utvecklat och antagit egna integritetslagar.

Bland dessa finns Kenyas dataskyddslag, som trädde i kraft 2019 och som har utvecklats och förbättrats under tiden därefter.

Vid antagandet konstaterade Joe Mucheru, Kenyas minister för information, teknik och kommunikation, att "Kenya har anslutit sig till världssamfundet när det gäller standarder för dataskydd".

Andra afrikanska länder som har antagit någon form av lag om dataskydd är Nigeria, Mauritius, Sydafrika och Uganda.

Andra nationella lagar om dataskydd och vad som väntar

Förutom dessa fem exempel finns det flera andra länder som har antagit GDPR-liknande dataskyddslagar.

Som nämnts tidigare i artikeln har totalt 14 tredjeländer standarder som anses vara kompatibla, och i överensstämmelse, med GDPR.

Utöver de tidigare nämnda länderna har även Japan, Brasilien, Uruguay, Schweiz, Andorra, Färöarna, Guernsey, Isle of Man, Jersey och Argentina liknande dataskyddslagar.

Eftersom frågan om digitalt dataskydd och personlig integritet blir en alltmer global och allmänt diskuterad fråga är det troligt att fler länder kommer att tvingas anta eller förbättra liknande lagar inom kort.