Forside
Om os
Open source Mobilapps Ofte stillede spørgsmål Migrér fra Google Photos Om PixelUnion
Priser Blog
Hjælpecenter
Konto Immich Migrering Øvrigt Kontakt support
Log ind Tilmeld dig
Privacy

Hvad er GDPR, og beskytter det dig egentlig?

Odin from PixelUnion
4 min read
#GDPR #Privacy #Data Protection #Digital Rights #Europe
Hvad er GDPR, og beskytter det dig egentlig?

Lad mig gætte. Du har klikket på “Accepter alle” flere gange, end du kan tælle, og et eller andet sted i baghovedet ved du, at det har noget med GDPR at gøre. Men hvis nogen bad dig forklare, hvad GDPR egentlig er, ville du sandsynligvis skifte emne.

Ingen dom. Det ville jeg have gjort for et par år siden.

Hvis du nogensinde har undret dig over, hvad der gemmer sig bag den forkortelse, og om det overhovedet gavner dig, er denne artikel for dig.

GDPR kendes på dansk også som Databeskyttelsesforordningen. Begge navne dækker over den samme lov. I denne artikel bruger vi GDPR, som er den mest udbredte betegnelse internationalt.

Hvad er GDPR?

GDPR står for General Data Protection Regulation, på dansk Databeskyttelsesforordningen. Det er en europæisk lov, der trådte i kraft i 2018, og som fastsætter reglerne for, hvordan virksomheder må indsamle, opbevare og bruge dine personoplysninger.

Personoplysninger er et bredt begreb. Det inkluderer dit navn og din e-mailadresse, men også din placering, dine fotos, din browserhistorik, din IP-adresse og alt andet, der kan bruges til at identificere dig som person.

Forordningen gælder for enhver virksomhed, der behandler oplysninger om personer, der bor i EU. Det inkluderer amerikanske virksomheder som Google og Meta. Hvis de vil operere i Europa, skal de følge de europæiske regler.

Hvilke rettigheder giver den dig egentlig?

Her bliver det interessant. GDPR er ikke bare et politikdokument, som virksomheder kan ignorere. Det giver dig reelle, håndhævelige rettigheder.

Retten til at vide. Du kan spørge enhver virksomhed, hvilke oplysninger de har om dig. De er juridisk forpligtet til at svare dig inden for en måned.

Retten til indsigt. Du kan anmode om en komplet kopi af dine data. Google, Meta, Apple: de har alle værktøjer til det. Det er ofte en øjenåbnende oplevelse.

Retten til at blive glemt. Du kan bede en virksomhed om at slette dine data. De skal efterkomme det, medmindre de har en legitim grund til at beholde dem, f.eks. en løbende kontrakt eller en juridisk forpligtelse.

Retten til dataportabilitet. Du kan anmode om dine data i et format, der giver dig mulighed for at tage dem med et andet sted hen. Dine fotos, dine beskeder, din historik. De er dine, og du bør kunne tage dem med dig.

Retten til indsigelse. Hvis en virksomhed bruger dine data til reklamemål, kan du bede dem om at stoppe. Det er mere kompliceret i praksis, men retten eksisterer.

Det er ikke småting. Før GDPR afhang alt dette udelukkende af virksomhedernes gode vilje.

Hvorfor føles det så stadig, som om intet er forandret?

Fordi håndhævelsen er langsom, og bøder ofte er forsinket med årevis. Virksomhederne med flest data har også flest advokater.

Meta fik en bøde på 1,2 milliarder euro under GDPR i 2023. Det lyder enormt. Det svarede til cirka fire dages omsætning. Google har stået over for lignende bøder. De betaler, anker og fortsætter imens som sædvanligt.

GDPR har tænder. Men det bider langsomt.

Hvad beskytter GDPR dig ikke mod?

Det er den del, de fleste ikke kender til.

GDPR regulerer, hvad virksomheder må gøre med dine data på eget initiativ. Det beskytter dig ikke mod anmodninger fra myndigheder.

I henhold til den amerikanske CLOUD Act kan amerikanske myndigheder kræve adgang til data hos amerikanske virksomheder, selv hvis disse data er lagret i Europa, og selv hvis du er europæisk statsborger. Virksomheden kan være juridisk forpligtet til at udlevere dem uden at informere dig.

GDPR siger: virksomheder må ikke misbruge dine data på eget initiativ. CLOUD Act siger: den amerikanske regering kan alligevel anmode om dem. Disse to love er i direkte konflikt.

Min kollega har allerede skrevet en mere dybdegående gennemgang af præcis, hvordan CLOUD Act fungerer, og hvad det betyder for dine fotos.

Har det betydning, hvor en virksomhed er hjemmehørende?

Ja. Betydeligt.

Hvis dine data er lagret hos en virksomhed med hjemsted i EU, stiftet under EU-ret og uden et amerikansk moderselskab, gælder CLOUD Act ikke. En europæisk retskendelse baseret på europæisk ret er noget helt andet end en anmodning fra den amerikanske regering.

Det er ikke en teknikalitet. Det er hele pointen.

Hos PixelUnion opbevarer vi dine fotos under europæisk lovgivning. Ikke fordi vi skulle, men fordi det er den eneste måde at gøre beskyttelsen reel på. Lagret i EU, drevet under EU-ret, intet amerikansk moderselskab, ingen uklare datapipelines.

GDPR er et solidt fundament. Men det virker kun fuldt ud, når den virksomhed, der opbevarer dine data, virkelig er underlagt det.

Nysgerrig på, hvad du ellers kan gøre for at tage kontrollen tilbage? Vores kollega har samlet en praktisk guide til at skifte helt væk fra Big Tech, med konkrete alternativer til hver tjeneste.