I maj i år träder en ny lag* i kraft som reglerar hur företag (och myndigheter) får behandla våra personuppgifter. Den nya lagen, som heter Dataskyddsförordningen eller GDPR på engelska, ersätter vår nuvarande Personuppgiftslag (PUL) och är tuffare mot företagen än vad PUL är. Bland annat kan det komma att kosta mycket pengar att bryta mot lagen, faktiskt ända upp till 4% av global årsomsättning i värsta fall. Förändringen innebär också att samma lag gäller i hela EU/EES.
Du har säkert hört en del om detta, men mycket är juridiskt lingo som inte är så enkelt att förstå om man varken är insatt i PUL eller i juridik generellt. Mycket är också riktat mot företag och inte mot dig som konsument.
Så därför kommer jag göra ett försök att göra det mer begripligt utifrån ett kundperspektiv i en serie av inlägg här på Ur kundens perspektiv under våren. Vi börjar med att förklara vad som avses med personuppgifter och vad man menar med ”behandling” av personuppgifter enligt lagen.
Vad är personuppgifter?
Många tänker spontant att personuppgifter enbart är namn, adress, personnummer och andra kontaktuppgifter som e-postadress, telefonnummer, etc men faktum är att allting som kan kopplas till dig som individ är att betrakta som personuppgifter. Det innebär t ex att alla dina kundnummer/konton hos olika företag, alla dina köptransaktioner, ditt surfbeteende på en hemsida, dina betalningar, din sjukjournal, ditt fingeravtryck, din IP-adress, alla dina inlägg och kommentarer på sociala medier också är att betrakta som personuppgifter.
Så när man tänker efter lämnar vi otroligt mycket personuppgifter efter oss i dagens digitala värld. Personligen tycker jag att det känns skönt att man med den nya lagen vill göra det lättare för oss konsumenter att bestämma vad företag får göra med all denna data. I synnerhet utifrån ett marknadsföringsperspektiv. Som tidigare CRM- och analyschef samt konsult inom området vet jag att många bolag samlar in och sparar enorma mängder data om sina kunder som de sedan kanske inte ens använder till att ge mig som kund en mer anpassad kundupplevelse (läs relevant för mig). I dessa fall kan man ju verkligen fundera på varför man ska låta dem spara all min köp- och surfhistorik för marknadsföringssyften och med nya lagen så måste de helt enkelt göra möjligt för mig att säga nej till detta.
Värt att notera är att också en kombination av uppgifter som entydigt pekar ut en person är att betrakta som personuppgifter. Med detta menas att det räcker med att uppge t ex ålder, kön och postnummer om det då genom en enkel slagning på hitta.se visar sig att det enbart finns en kvinna i den åldern på det postnumret.
Vad är behandling av personuppgifter?
I lagen står det ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,”
Man kan kort sagt säga att det är allt ett företag (eller myndighet) gör med en personuppgift. Att t ex bara titta på en personuppgift är att betrakta som behandling.
*Om du är jurist och läser detta så vet jag också att den korrekta benämningen är ”förordning” och inte ”lag”, men utifrån ett konsumentperspektiv så spelar det ju mindre roll så låt oss inte krångla till det.
Ur kundens perspektiv 