Det pratas mycket om GDPR, den nya EU-lagen eller dataskyddsförordningen som den heter på svenska. GDPR kommer ersätta Personuppgiftslagen (PUL). Tanken är att den ska underlätta för e-handlare och andra företagare som är verksamma i mer än ett EU-land. Tidigare hade varje EU-land sina egna bestämmelser kring hur personuppgifter hanteras. Det fanns förvisso en lägsta nivå som alla EU-länder hade att förhålla sig till, men utöver lägsta nivån så fanns det stora variationer. Att det fanns olika lagar gjorde det svårt för företag som hanterar personuppgifter i flera olika EU-länder. Den nya gemensamma lagen kan för många innebära stora förändringar, men när dessa väl är genomförda kommer det bli enklare för alla verksamheter som hanterar personuppgifter. Frågan är dock om det verkligen kommer bli enklare?
Vad är GDPR?
GDPR står för General Data Protection Regulation och i de diskussioner jag sett på LinkedIn används den engelska förkortningen oftare än den svenska benämningen dataskyddsförordningen. Kanske kommer det svenska namnet sätta sig så småningom, jag blandar lite när jag pratar. Jag gillar att använda svenska ord, men de flesta verkar som sagt använda den engelska förkortningen. GDPR är en lag som införs samtliga EU-länder den 25 maj 2018. Regelverket är omfattande och och med inträdet av den nya lagstiftningen skärps kraven på hur persondata hanteras. Dessutom kan företag som brister i hanteringen av personuppgifter tvingas betala sanktionsavgifter på upp till 20 miljoner EUR eller 2% av ett företags omsättning, vilket inte var fallet med PUL.
Missbruksregeln försvinner
Tidigare har det funnits en regel som säger att personuppgifter i ostrukturerat material är tillåtet så länge det inte kränker enskilda individer. Kränkning kan vara personförföljelser, försök att skandalisera en person eller spridande av missvisande information. Ostrukturerat material omfattar exempelvis personuppgifter i e-post eller i enklare listor på en enskild dator. I samband med införandet av GDPR försvinner missbruksregeln och därmed skall även personuppgifter i ostrukturerat material hanteras som övriga personuppgifter.
Det kan därför vara bra att kontrollera vilka personuppgifter som förekommer i exempelvis e-post och listor. Listor som skickas bör krypteras, även om dessa endast skickas internt. Nästan all e-post skickas idag via externa servrar och bör därför hanteras varsamt.
Krav på rapportering vid dataintrång
Den nya lagen har fokus på information och transparens, det vill säga att individer ska ha information om hur deras personuppgifter hanteras. Som en del i detta har det tagits fram krav på att dataintrång ska rapporteras både till de individer som berörs och till myndigheter, i Sverige är det Datainspektionen som tar emot anmälningar. Vid intrång eller förlust av data måste rapportering ske inom 72 timmar, vilket kan vara svårt om intrånget sker strax innan en långhelg.
De senaste åren har det rapporterats om olika läckor från e-handlare och jämförelsesajter. När en av jämförelsesajten Prisjakts medarbetares kontouppgifter hamnade på villovägar så läckte 48000 e-postadresser ut på nätet. Lösenorden var krypterade så de kom inte i orätta händer, men e-postadresser är personuppgifter och liknande intrång måste med den nya lagen rapporteras både till myndigheter och till de enskilda personerna.
Företag och organisationer behöver sätta upp rutiner för hur dataintrång hanteras och rapporteras, särskilt hur det hanteras om intrånget sker utanför kontorstid.
Dataportabilitet införs i dataskyddsförordningen
Den som har gett sin tillåtelse till att registreras av ett företag har enligt GDPR rätt att föra över sina uppgifter till ett annat företag eller organisation om så önskas, men också att själv få ett registerutdrag med uppgifter som har lagrats om en själv. Detta gäller endast personuppgifter som kan härledas till en individ och därmed inte uppgifter som har anonymiserats. Analys av rådata ingår inte rätten att få tillgång till sina uppgifter eller rätten att få dessa överförda från ett företag till ett annat.
För e-handlare som har kundregister och register med nyhetsprenumeranter är det viktigt att ha en rutin för att lämna ut dessa uppgifter på förfrågan.
Krav på dataskyddsombud
Företag och organisationer som hanterar känsliga personuppgifter eller kartläggningar av enskilda individers beteende ska ha en person som ansvarar för hanteringen av dessa, ett dataskyddsombud. Kravet på dataskyddsombud gäller därmed inte alla företag och organisationer utan endast de som hanterar känsliga personuppgifter eller som kartlägger enskilda individers beteenden.
E-handlare som använder olika typer av webbanalysverktyg eller köper onlinemarknadsföring som baseras på individers beteende bör se till att leverantörerna följer GDPR och att de har ett dataskyddsombud som hanteras dessa frågor.
Konsekvensbedömning vid risk
Om hanteringen av personuppgifter kan leda till hög risk för integritetsintrång så måste en konsekvensbedömning göras. Konsekvensbedömningen ska innefatta en analys av hur riskerna kan minimeras. Bedöms risken som hög om inte den personuppgiftsansvarige vidtar åtgärder så måste företaget samråda med Datainspektionen.
Användarnas tillstånd
Dataförordningen kräver att användarna ska ge sitt godkännande innan personuppgifter samlas in. Dessutom ska informationen som ges till användarna vara tydlig så att de förstår hur personuppgifterna kommer att användas. I teorin låter det väldigt bra, men i en värld där användarna inte förstår hur digitala tjänster fungerar blir detta ett problem.
Joakim Jardenberg tar upp detta i sin webbserie #ensakidag där han berättar om journalisten Judith Duportail som förvånats över hur mycket information Tinder hade om henne. Idag använder många Facebook, Twitter eller LinkedIn för att logga in på olika sorters appar. När vi gör det så delar vi med oss av information från dessa nätverk. Vi får alltid en informationsruta om detta, och uppmanas att svara på om vi vill dela med oss information från de sociala nätverken till appen. För de flesta av oss är det numera en rutin att tacka ja, för det är inte alltid det finns ett alternativ. Finns ett alternativ så är det oftast en längre registreringsprocess och tanken på ännu ett lösenord att hålla reda på och byta ut regelbundet känns för många värre än att koppla ihop appen med ett socialt nätverk. Informationen som Tinder hade om Judith Duportail hade hon med andra ord gett dem tillstånd till att inhämta, men hon hade inte reflekterat över vad hennes tillstånd innebar.
Det här kommer bli en utmaning för e-handlare, och något som många oroas över just nu. Om välutbildade personer som Judith Duportail inte förstår att matchningstjänster bygger på informationsinhämtning, hur ska då den genomsnittliga användaren förstå?