Om efterlevnad av GDPR.

Lag är lag

Du får inte inneha, kopiera, duplicera, transportera eller sälja olagligt inspelade filmer. Även om lagarna ser lite olika ut i olika länder och världsdelar: det är förbjudet att olagligt skaffa sig upphovsrättsskyddade medier. Oavsett vad du själv tycker om dessa regler: lag är lag.

Men anta att du ingår ett avtal med en part om att du ändå ska lagra och bearbeta olagliga spelfilmer i ett annat land. Du skriver på ett avtal om att du ska följa alla möjliga fördrag och inte offentliggöra filmerna.

Vad tror du att lagstiftaren i ett sådant land skulle tycka om ett sådant privat avtal? De skulle skratta åt dig och dra dig inför rätta. För lag är lag, och den har alltid företräde framför vad ni kommer överens om privat.

Det skulle vara något om ni kom överens om att vapen är okej på kontoret. Eller droger. Eller andra olagliga aktiviteter. Och sedan tror att man kan komma undan med det. "Ja, men vårt kontrakt säger att det är tillåtet. Haha.

Skydd av personuppgifter

EU begränsar med rätta vad företag får göra med personuppgifter. Personuppgifter kan vara namn, födelsedatum, kön, adress, personnummer, passnummer eller bankkonto och kan också vara andra identifierare som telefonnummer eller IP-adress.

Parterna får inte obehindrat samla in, bearbeta, dela, sälja eller mata in uppgifter om dig till en AI. Det är meningen att du ska veta och kunna förhindra och blockera detta.

Du kanske tänker: ah personuppgifter, vad gör det för skillnad? Du vet aldrig hur någon kan använda dina egna uppgifter mot dig. Skuldsätta dig i ditt namn eller förfölja dig på grund av din religion, sexualitet eller åsikt. Eller omedvetet påverka dina köp- eller röstvanor.

Personuppgifter är farliga, en personlig berättelse

Jag upplevde som 4-årig pojke att gömda böcker på vinden föll på min fot när min pappa höll på att bryta bort ett tak. Dessa böcker var gömda i vårt hus under andra världskriget. Det var böcker om stadens judiska församling, med alla namn och adresser till dess medlemmar. Uppgifterna samlades in med alla goda avsikter, och rabbinen som hade bott i vårt hus under dessa år förhindrade att uppgifterna sedan vändes mot folket av en fruktansvärd fascistisk ockupationsmakt. På den tiden handlade det om några böcker som man easy kunde gömma undan. Nu flyger petabytes med personuppgifter runt världen på en millisekund, lagrade på okända servrar. Hur håller man ett grepp om det?

(Denna berättelse blev förordet i en viktig bästsäljande bok om integritet som heter 'Du har verkligen något att dölja.av Maurits Martijn och Dimitri Tokmetzis).

Lika farligt som vapen och droger

Personuppgifter kan bli ett vapen mot dig, din familj, ditt rykte, din egendom, mot friheter, mot demokrati och mot rättsstatsprincipen. Personuppgifter är således mycket viktigare att skydda än rättigheter till spelfilmer, mer på samma nivå som vapen och droger, när det gäller påverkan, fara och omstörtande verksamhet.

Lagstiftning om dataskydd

I EU finns en lag om skydd av personuppgifter som kallas GDPR, eller AVG, eller DSGVO. Den säger i princip bland annat att du alltid har rätt att blockera, bestämma och veta vem som gör vad med dina personuppgifter, så att du har kontroll och är skyddad.

Övriga länder

EU:s GDPR-lag säger också att personuppgifter inte får hamna i länder som inte erbjuder denna skyddsnivå. Du tänker med rätta på länder som Ryssland och Kina som är förbjudna. Men visste du att USA också finns med på listan över dessa tvivelaktiga länder?

Intäktsmodellen för stora teknikföretag som Microsoft, Google och Meta (Facebook, Instagram) är trots allt data. Personuppgifter gör det möjligt för dem att sälja riktade annonser, till exempel. Visste du att de också använder dessa data för att träna AI:er så att de blir ännu mer inflytelserika och större?

Amerikansk lag når in i EU

Nu tänker du säkert att om dessa företag bara lagrar dina uppgifter i EU så är allt bra. Tyvärr är det inte så. I USA finns CLOUD Act, en lag som sträcker sig mycket långt. Den lagen kräver tillgång till alla uppgifter från alla amerikanska företag, även om dessa företag har dotterbolag i EU, även om deras servrar finns i EU. I själva verket inför USA sin lag rakt in i EU, och det är till stor nackdel för er, oavsett hur den rättsliga situationen ser ut.

Bristfälliga fördrag

EU och USA har upprepade gånger försökt hitta lösningar på detta, till exempel genom avtal som gör det möjligt för dessa företag att lagra data i USA, med vissa begränsningar.

Två gånger redan har ett sådant fördrag underkänts av Europadomstolen (den högsta rättsliga instansen): det skyddar inte EU-medborgarnas rättigheter i tillräcklig utsträckning och är därför för farligt. Det tredje fördraget är också redan under rättslig prövning och enligt specialiserade juridiska experter har fördraget inte en chans.

Privata kontrakt misslyckas

De stora teknikföretagen fruktar uppenbarligen att de inte kan fortsätta sin handel, så de - och företag som köper tjänster av dem - hittar på alla möjliga ganska desperata sätt att fortsätta med sina olagliga metoder. De hävdar till exempel att standardavtalsklausuler ger tillräckligt skydd eftersom de lovar att inte lämna ut några uppgifter.

Naturligtvis håller inte dessa avtal. För lag är lag: om USA vill ha tillgång till data kommer de att genomdriva det, oavsett vad ni kommer överens om sinsemellan. Lagen är alltid starkare.

Dödläge

Den seriösa lösningen för att skydda dina uppgifter är att den amerikanska CLOUD Act ändras och att det finns en lag i USA med liknande skydd i EU. Men det kommer aldrig att hända: dessa uppgifter är kärnverksamheten för de stora teknikföretagen, och de amerikanska underrättelsetjänsterna är också förtjusta i dina personuppgifter.

Så dödläget kvarstår. USA:s lagstiftning kommer inte att ändras, EU håller med rätta fast vid sina regler och fördragen gäller inte. Tro inte på det när partier ger sådana löften!

Uppfylla kraven

Vill du fortfarande vara säker på att du följer europeisk lag? Se då till att du arbetar med en europeisk leverantör som använder europeisk infrastruktur, en part som inte har några amerikanska band: inga amerikanska leverantörer, inget amerikanskt moderbolag. Inte ens om det finns ett europeiskt företag däremellan. Inte ens om ett amerikanskt företag lagrar dina uppgifter i EU.

Förhoppningsvis har det nu blivit lite tydligare för dig varför personuppgifter är så viktiga att skydda. Det handlar om att skydda dig själv, dina kunder och dina tittare. Du riskerar böter och du riskerar att uteslutas från upphandlingar.

Och slutligen: skydda dig själv. Din data innehåller mycket intressant information om dina kunder, dina tittare, ditt format, din programmering, din intäktsmodell och dina annonsörer. Vill du riskera att bli utkonkurrerad med din egen data?

Efterlevnad av GDPR

Jet-Stream är 100 % GDPR-kompatibelt. Det är inte vi som säger det, det är revisorn som anlitats av EDPS, Europeiska datatillsynsmannen. Vi tar dataskydd på allvar, vi är europeiska och har vår egen europeiska infrastruktur. Kontakta oss för mer information.

GDPR-checklista

Vi har skapat denna enkla checklista. Är din leverantör GDPR-kompatibel?

GDPR-checklista Jet-Stream för att ta reda på om dina personuppgifter är säkrade
Gå tillbaka för att se alla blogginlägg