Vad är GDPR?

Under de senaste åren har rätten att glömmas diskuterats flitigt, alltså att du ska ha rätten att be till exempel Google att ta bort vissa sökresultat som gäller dig. Detta och mer regleras i GDPR, den nya EU-gemensamma datalagstiftningen som träder i kraft den 25 maj 2018. GDPR betyder General Data Protection Regulation, och är alltså ett generellt skydd för personuppgifter som sparas.

Detta är första delen av tre i en serie om GDPR.

Vad omfattas?

Personuppgifter, det vill säga alla uppgifter som går att spåra till en människa, är på många sätt nödvändiga för skötseln av praktiskt taget alla företag och är en fundamental del av internet rent generellt. Anställda tycker till exempel ofta om att få lön och kanske en lönespecifikation. Dina kunder kanske inte är lika förtjusta i att få räkningar, men de är nog införstådda med att de kommer att få dem i alla fall. Har din sida, portal eller plattform användare? I alla dessa fall har du sannolikt personuppgifter sparade någonstans.

I praktiskt taget alla fall där du har en uppgift som gör det möjligt att spåra en viss individ, till skillnad från att till exempel lägga ett brev på gatan och hoppas på att det når rätt adressat, så har du sparade personuppgifter. Så för att sammanfatta: det mesta är personuppgifter! Ditt namn, din e-mail, din ip-adress, ditt personnummer, din hund... Kanske inte hunden, men ni förstår vad jag menar.

Ska jag införskaffa en papperstugg?

Men vad händer sen då? Kommer jag att vara tvungen att ta bort alla mina kundregister? Är målet en global rensning av personuppgifter? Lite som slutscenen i Fight Club (ingen har rätt att hävda spoiler vid det här laget, filmen kom ut för 20 år sedan)?

EU-lagar är riktigt torra!

Praktiskt taget all EU-lagstiftning inleds med ett antal påståenden, av stilen: ”vi förstår att [till exempel likformighet hos gurkor] fyller en mycket viktig funktion i ett modernt samhälle...” eller ”för att säkerställa en grundläggande trygghet för alla är det nödvändigt att...” GDPR inleds på detta sätt, genom 173 textstycken där man förklarar bakgrund, syfte och förhållandet till andra lagar innan själva lagen, GDPR, börjar.

Så åter till Fight Club-frågan, vad vill EU? Av inledningen till GDPR framgår att:

”Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen.”

samt

”Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter.”

och att

”Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.”

Eller kortfattat:

1. Du, inte Facebook eller din arbetsgivare, äger dina personuppgifter!
2. Samtidigt så finns det avväganden som innebär att din äganderätt inte kommer att medföra absolut kontroll över dina personuppgifter.
3. Detta är inget skämt! Vi, EU, menar allvar!

Ja, jag pratar med dig

Om du har kommit så här långt i texten och tänker: ”Skönt! GDPR gäller inte mig”, så vill jag på klassiskt stockholmsmanér mena att du sannolikt har fel och att du i sådant fall snarare har missförstått poängen med GDPR. Men misströsta inte! För detta är bara första delen av tre i en artikelserie om GDPR.

I de två följande avsnitten av serien kommer jag att förklara vad punkterna 1–3 ovan innebär i praktiken. Det vill säga vad innebär det att du äger dina personuppgifter? På vilket sätt görs avvägningen mellan individens integritet och ett fungerande affärsliv? Hur tänker EU se till att detta inte blir en papperstiger?

GDPR the Oatly way!

Det finns mekanismer inbyggda i GDPR som ger klara incitament till att bry sig om lagen. Dels risken för astronomiska böter men även ett skadeståndsansvar gentemot de enskilda personerna vars personuppgifter man har sparade.

Men det finns inte bara mörka moln på himlen! Företag som Oatly har tjänat enormt på att profilera sig som the good guys. De är öppna och ärliga med en känsla av indie i all deras kommunikation. Detta sker dock inte helt utan ansträngning. Det är mycket lättare att skriva ett drakoniskt avtal på 50 sidor som Tywin Lannister skulle ha varit stolt över, än att skriva ett avtal som ärligt och kort säger: ”detta är vad vi behöver, av den här anledningen...” Men jag är fullständigt övertygad om att detta är någonting man kommer att få tillbaka i längden. Så varför inte hantera era användares, kunders eller anställdas personuppgifter med den respekt de förtjänar. Ge dem en anledning att bry sig om er, genom att visa att ni respekterar deras integritet!

Se del 2, frihet och kommunikation, här

Robert Klackenborn, Ejder Advokatbyrå

Missa inga nyheter! Anmäl dig till ett förbaskat bra nyhetsbrev.
0 kommentarer
Du måste logga in för att skriva en kommentar. för att registrera dig som medlem.