Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på

Cloud Nine höll den 30 maj ett frukostseminarium i ett synnerligen aktuellt ämne: Den nya dataskyddslagstiftningen GDPR. GDPR (General Data Protection Regulation) ersätter PUL och träder i kraft den 25 maj 2018. Den reglerar all form av behandling av information som direkt eller indirekt kan knytas till en person. För alla typer av företag, myndigheter och organisationer kan detta medföra en hel del förändringar.

När gäller denna rätt?
Talare vid frukostseminariet var Anders Bergsten, expert på personuppgiftslagstiftning från advokatbyrån Mannheimer Swartling samt vår egen digitala strateg, David Aler. Anders fokuserade på en särskilt krävande aspekt av GDPR, nämligen dataportabilitet. Den nya lagen kräver i princip att alla data som är resultatet av inmatning av uppgifter eller en persons aktiviteter på webbplatser, appar eller sociala medier ska vara möjliga att granska, radera och flytta till en annan, i vissa fall, konkurrerande tjänst.

Dataportabilitet – Varför?
Denna portabilitet kan liknas vid rätten att flytta med sig ett mobilnummer till en ny operatör eller finansiella uppgifter vid byte av bank. GDPR är alltså ämnad att skydda individen och ge hen makten över sina personuppgifter men även att stimulera till konkurrens. I arbetsdokumentet Article 29 Working Party står det “Indeed, the primary aim of data portability is to facilitate switching from one service provider to another, thus enhancing competition between services”.

Vilken information omfattas?
I praktiken påverkar detta tekniska system och databaser men även rutiner vid personuppgiftshantering. I Sverige har vi också tidigare haft en förenkling av personuppgiftslagen. Har man behandlat personuppgifter i löpande text och enklare listor har den hanteringen kunnat göras med stöd i missbruksregeln, som har gjort det möjligt att hantera personuppgifter så länge det inte är kränkande för någon. Den regeln försvinner helt och hållet i och med den nya lagen.

Portabiliteten kräver också att personuppgifter ska kunna överföras i ett ”strukturerat, allmänt använt och maskinläsbart format”, vilket kan bli bekymmersamt när det rör sig om äldre uppgifter som finns lagrade eller i olika backup-system. En annan utmaning är att alla persondata – även sökhistorik, GPS-data och hälsodata såsom hjärtfrekvens och stegantal omfattas av lagstiftningen.

Vilken information omfattas inte?
Det finns dock undantag: Information som ”utlästs” omfattas inte, t.ex. data som är resultatet av personaliserings- eller rekommendationsprocesser (”om du tyckte om bok X kanske du också tycker om bok Y”) eller data som är ett resultat av profilering eller kategorisering (kreditscore eller bedömning av hälsotillstånd). Om tredje mans personuppgifter, som vid webbmail eller banköverföringar, finns med måste det finnas laglig grund för överföring av dessa. Detta bedöms i praktiken stoppa många krav på överföring av uppgifter. Det finns även krav på personuppgiftsansvariga att kolla identiteten på den som kräver överflyttningen, vilket blir en svår nöt att knäcka.

Andra avgränsningar
Sist men inte minst så får inte exporterade uppgifter användas till ett annat syfte än det de samlades in för – till exempel direktmarknadsföring. Detta gör det svårt för dem som idag samlar in och säljer vidare personuppgifter. Samtycke kring insamling av personuppgifter blir i GDPR-eran ett krav, där alla måste lämna sitt frivilliga, specifika och otvetydiga tillstånd när uppgifter begärs in, det vill säga ”opt-out”-lösningar blir förbjudna. Personuppgiftsansvariga måste kunna bevisa att samtycke har lämnats, och samtycke kan återkallas när som helst.

GDPR kommer få konsekvenser för e-handel, rekrytering, intresseorganisationer och andra som är beroende av personuppgifter för att bli effektiva och konkurrenskraftiga. Men den tvingar oss också att värdera och respektera persondata på ett nytt sätt och för oss individer blir det tydligare att våra uppgifter och aktiviteter online är hårdvaluta som kräver en motprestation i form av bättre och mer värdeskapande tjänster.

/David Aler, digital strateg på Cloud Nine