Hem
Om oss
Open source Mobilappar Vanliga frågor Migrera från Google Photos Om PixelUnion
Priser Blogg
Hjälpcenter
Konto Immich Migrering Övrigt Kontakta support
Logga in Registrera dig
Privacy

Vad är GDPR och skyddar det dig på riktigt?

Odin from PixelUnion
4 min read
#GDPR #Privacy #Data Protection #Digital Rights #Europe
Vad är GDPR och skyddar det dig på riktigt?

Låt mig gissa. Du har klickat på “Acceptera alla” fler gånger än du kan räkna, och någonstans i bakhuvudet vet du att det har något med GDPR att göra. Men om någon bad dig förklara vad GDPR egentligen är, skulle du förmodligen byta ämne.

Inget att skämmas för. Jag hade gjort samma sak för några år sedan.

Om du någon gång har undrat vad som döljer sig bakom den förkortningen, och om det faktiskt är till någon nytta för dig, är den här artikeln för dig.

GDPR kallas på svenska även Dataskyddsförordningen. Båda namnen syftar på samma lag. I den här artikeln använder vi GDPR, som är den vanligaste beteckningen internationellt.

Vad är GDPR?

GDPR står för General Data Protection Regulation, på svenska Dataskyddsförordningen. Det är en europeisk lag som trädde i kraft 2018 och som fastställer reglerna för hur företag får samla in, lagra och använda dina personuppgifter.

Personuppgifter är ett brett begrepp. Det inkluderar ditt namn och din e-postadress, men också din plats, dina foton, din webbläsarhistorik, din IP-adress och allt annat som kan användas för att identifiera dig som person.

Förordningen gäller för alla företag som behandlar uppgifter om personer som bor i EU. Det inkluderar amerikanska företag som Google och Meta. Om de vill verka i Europa måste de följa de europeiska reglerna.

Vilka rättigheter ger den dig egentligen?

Här blir det intressant. GDPR är inte bara ett policydokument som företag kan ignorera. Det ger dig verkliga, juridiskt bindande rättigheter.

Rätten att veta. Du kan fråga vilket företag som helst vilka uppgifter de har om dig. De är lagligt skyldiga att svara dig inom en månad.

Rätten till tillgång. Du kan begära en fullständig kopia av dina uppgifter. Google, Meta, Apple: alla har verktyg för detta. Det är ofta en ögonöppnande upplevelse.

Rätten att bli glömd. Du kan begära att ett företag raderar dina uppgifter. De måste göra det, om de inte har ett legitimt skäl att behålla dem, till exempel ett pågående avtal eller en rättslig skyldighet.

Rätten till dataportabilitet. Du kan begära dina uppgifter i ett format som låter dig flytta dem någon annanstans. Dina foton, dina meddelanden, din historik. De är dina och du ska kunna ta med dig dem.

Rätten att invända. Om ett företag använder dina uppgifter för reklamändamål kan du begära att de slutar. Det är mer komplicerat i praktiken, men rättigheten finns.

Det här är inte småsaker. Före GDPR var allt detta helt beroende av företagens goda vilja.

Varför känns det då som att ingenting har förändrats?

Eftersom tillämpningen är långsam och böterna ofta dröjer i flera år. Företagen med mest data har också flest advokater.

Meta bötfälldes med 1,2 miljarder euro under GDPR 2023. Det låter enormt. Det var ungefär fyra dagars intäkter. Google har mött liknande böter. De betalar, de överklagar och fortsätter under tiden som vanligt.

GDPR har tänder. Men den biter långsamt.

Vad skyddar GDPR dig inte mot?

Det här är den del de flesta inte känner till.

GDPR reglerar vad företag får göra med dina uppgifter på eget initiativ. Det skyddar dig inte mot statliga förfrågningar.

Enligt den amerikanska CLOUD Act kan amerikanska myndigheter begära tillgång till uppgifter som innehas av amerikanska företag, även om dessa uppgifter lagras i Europa och även om du är EU-medborgare. Företaget kan vara rättsligt skyldigt att lämna ut dem utan att informera dig.

GDPR säger: företag får inte missbruka dina uppgifter på eget initiativ. CLOUD Act säger: den amerikanska regeringen kan ändå begära dem. Dessa två lagar är i direkt konflikt med varandra.

Min kollega har redan skrivit en mer djupgående genomgång av exakt hur CLOUD Act fungerar och vad det betyder för dina foton.

Spelar det roll var ett företag är baserat?

Ja. Avsevärt.

Om dina uppgifter lagras hos ett företag med säte i EU, bildat under EU-rätt och utan amerikanskt moderbolag, gäller inte CLOUD Act. Ett europeiskt domstolsbeslut baserat på europeisk rätt är något helt annat än en begäran från den amerikanska regeringen.

Det är inte ett tekniskt detalj. Det är hela poängen.

På PixelUnion lagrar vi dina foton under europeisk rätt. Inte för att vi var tvungna, utan för att det är det enda sättet att göra skyddet verkligt. Lagrat i EU, driftat under EU-rätt, inget amerikanskt moderbolag, inga otydliga datapipelines.

GDPR är en solid grund. Men det fungerar fullt ut bara när företaget som förvaltar dina uppgifter verkligen omfattas av det.

Nyfiken på vad mer du kan göra för att ta tillbaka kontrollen? Vår kollega har satt ihop en praktisk guide om hur man byter bort Big Tech helt, med konkreta alternativ för varje tjänst.