Den 25 maj 2018 förändras spelreglerna för hur företag och organisationer får hantera dina personuppgifter. EU:s nya dataskyddsförordning GDPR – General Data Protection Regulation – ersätter ett lapptäcke av nationella lagar som i många fall är skrivna på 1990-talet, långt innan Facebook, Google och smartphones existerade. För dig som privatperson innebär det nya rättigheter. För företag innebär det nya skyldigheter – och potentiellt mycket stora böter om de inte följer reglerna.
Vad är GDPR och varför kommer det nu?
GDPR är en EU-förordning som beslutades 2016 efter fyra års förhandlingar och har gällt på pappret sedan dess – men med en övergångstid på två år för att ge företag och myndigheter tid att anpassa sig. Nu är den övergångstiden slut.
Bakgrunden är enkel: den digitala ekonomin har förändrat hur personuppgifter samlas in, lagras och används i en takt som lagstiftningen inte hängt med i. Företag har byggt affärsmodeller på att samla in så mycket data som möjligt om sina användare – ofta utan att användarna förstått vad de gått med på. Cambridge Analytica-skandalen, som briserade i mars i år och visade hur miljoner Facebook-användares data använts för att påverka val, gav GDPR en tajming som knappast hade kunnat planeras bättre.
Dina nya rättigheter – konkret
GDPR ger dig som privatperson en rad rättigheter som tidigare antingen inte funnits eller varit svåra att utnyttja i praktiken. Den mest omtalade är rätten att bli glömd – du kan begära att ett företag raderar alla uppgifter de har om dig, och i de flesta fall är de skyldiga att göra det. Du har också rätt att få veta exakt vilka uppgifter ett företag har om dig, och rätt att få dem utlämnade i ett maskinläsbart format som du kan ta med dig till en annan tjänst.
Samtycke ska dessutom vara aktivt och specifikt. Den gamla modellen där ett förifyllt kryssruta längst ner på en sida räknades som godkännande är inte längre tillräcklig. Du ska aktivt tacka ja – och du ska enkelt kunna ta tillbaka ditt samtycke när som helst. Krångliga avregistreringsprocesser som kräver att du ringer ett kundtjänstnummer eller skickar ett brev är inte förenliga med förordningens krav.
Varför får du så många mejl just nu?
Inkorgen har de senaste veckorna fyllts av mejl från tjänster du kanske knappt minns att du registrerade dig hos. ”Vi har uppdaterat vår integritetspolicy.” ”Vi vill ha ditt samtycke.” ”Dina uppgifter är viktiga för oss.” Det är GDPR i praktiken – eller rättare sagt, GDPR-panik i praktiken.
Många företag har väntat för länge med att anpassa sig och försöker nu i elfte timmen säkra samtycken från sina användare. Kvaliteten på dessa utskick varierar kraftigt: en del är tydliga och välskrivna, andra är juridisk text som är omöjlig att förstå för en vanlig läsare – vilket i sig är ett brott mot förordningens krav på begriplighet.
Rådet från dataskyddsexperter är enkelt: om du inte aktivt väljer att tacka ja till en tjänst du inte längre vill ha, behöver du inte göra något. Tystnad räknas inte som samtycke under GDPR.
Böterna som ska göra skillnad
Tidigare har dataskyddslagstiftning ofta haft tandlösa sanktioner. I Sverige kunde Datainspektionen utfärda böter på maximalt tre miljoner kronor – en summa som för ett stort techbolag är en försumbar driftkostnad. GDPR ändrar den kalkylen drastiskt.
Böterna kan nu uppgå till antingen 20 miljoner euro eller fyra procent av företagets globala årsomsättning – det högsta av de två beloppen tillämpas. För ett företag som Google eller Facebook innebär fyra procent av omsättningen miljarder dollar. Det är en siffra som faktiskt syns i ett resultaträkning och som är tillräckligt stor för att förändra beteenden.
Huruvida tillsynsmyndigheterna i EU:s medlemsländer faktiskt kommer att använda sina nya befogenheter fullt ut återstår att se. Erfarenheten från liknande lagstiftning är att det tar tid innan de första stora böterna utfärdas – men när de väl kommer skickar de en signal som hörs i hela branschen.
Vad innebär det för svenska företag?
För stora företag med dedikerade juridik- och IT-avdelningar har GDPR-anpassningen inneburit månader av arbete och betydande kostnader. Processer har kartlagts, system har byggts om, avtal med underleverantörer har omförhandlats och dataskyddsombud har anställts.
Värre är situationen för många småföretag som saknat resurser att ta tag i anpassningen i tid. En frisör med en kundlista i ett Excelark, ett gym med medlemsregister eller en liten e-handlare med ett nyhetsbrev – alla omfattas av GDPR, och alla riskerar böter om de inte hanterar personuppgifter på rätt sätt. Datainspektionen har signalerat att fokus inledningsvis kommer att ligga på större aktörer, men undantagen i förordningen är få.
En förordning som kom för att stanna
Det är frestande att se GDPR som ännu ett byråkratiskt direktiv från Bryssel som skapar pappersarbete utan att förändra något i grunden. Den bedömningen är sannolikt fel. Förordningen slår fast ett synsätt – att personuppgifter tillhör individen, inte det företag som råkar ha samlat in dem – som är svårt att backa från när det väl är inskrivet i lag.
Att leva upp till förordningens krav fullt ut är inte enkelt, varken tekniskt eller organisatoriskt. Men riktningen är tydlig: en digital ekonomi där användarna har kontroll över sina egna data är inte längre bara en vision hos integritetsaktivister. Det är nu lagstiftning i världens största handelsblock – och företag som vill nå EU:s konsumenter har inget val annat än att följa den.