I detta blogginlägg tänkte jag försöka skapa lite klarhet i varför lagstiftaren (läs EU-parlamentet och indirekt Sveriges riksdag) tycker det är viktigt att reglera hur personuppgifter får användas och varför detta är positivt för dig som kund.
Du äger ditt data!
Till att börja med gör digitaliseringen att vi som kunder lämnar dataspår efter oss överallt idag. Lagstiftaren vill försäkra sig om att företag inte utnyttjar detta data utan vårt samtycke. Utgångspunkten är att vi som individer äger vårt eget data och därmed ska kunna bestämma vad det får användas till.
Men eftersom detta handlar om juridik så finns det naturligtvis en massa ”undantag” där du som kund/medborgare inte kan säga nej till viss behandling av personuppgifter. Ett uppenbart fall är t ex inom myndighetsutövning om polisen misstänker dig för ett brott. Att polis- och åklagarmyndighet då får behandla uppgifter om dig utan att be dig om lov eller ens informera dig om det är liksom självklart. Dock betyder inte det att myndigheter kan hitta på vad som helst. Vissa av er kanske kommer ihåg att Polisen i Skåne för några år sedan upprättade ett register över romer som senare bedömdes som olagligt?
Det finns även en hel del undantag inom den kommersiella världen, men det tar vi i ett senare inlägg.
Ditt data måste hanteras på ett säkert sätt
Lagstiftaren vill också säkerställa att företag inte slarvar med säkerheten när allt detta data hanteras så att det faller i orätta händer och i värsta fall kan leda till problem för dig som individ. Du kan ju t ex fundera på vad som skulle hända om ett företag skulle råka läcka en fil med alla kunders användarnamn och lösenord. Låt säga att det här företaget också tagit lätt på säkerheten runt sina betallösningar och ditt kreditkortsnummer ligger lätt åtkomligt för skurkarna. Inte så kul, eller hur?
Det mest kända exemplet på att detta faktiskt händer skulle jag säga är den amerikanska varuhuskedjan Target som 2013 blev hackade och skurkarna kom över betalkortsuppgifter till 41 miljoner kunder. Det blev ganska dyrt för Target, dels genom olika skadestånd men även avseende ett nedfläckat varumärke.
Det man dock ska komma ihåg är att säkerhet i behandlingen av personuppgifter inte alltid kan lösas genom teknik som brandväggar, kryptering och behörigheter till system eftersom för vissa processer så måste en människa som jobbar på företaget ta del av ditt data, t ex för att kunna hjälpa dig i ett kundservice-ärende. Det innebär att vissa anställda alltid har tillgång till dina personuppgifter och då är det väldigt viktigt att de har fått ordentlig utbildning och instruktioner om vad de får och inte får göra. Detta är minst lika viktigt som att systemen är säkrade rent tekniskt.
Om ett företag läcker iväg personuppgifter eller har gjort något annat olagligt med dessa så måste det anmälas till tillsynsmyndigheten enligt den nya lagen. Är det grovt så kan det också bli ordentligt dyrt för företaget då de förutom eventuella skadestånd till de drabbade även kan dömas till höga böter. Detta är en stor skillnad från den gamla personuppgiftslagen PUL.
Globaliseringen ska inte hindra ordning och reda
En annan effekt av digitalisering och globalisering är att data flödar kors och tvärs över landsgränser vilket i dagsläget gör det svårare att bestämma vilken nations personuppgiftslag som ska gälla. I synnerhet när något går på tok blir detta rörigt. Därför har man bestämt att den nya Dataskyddsförordningen gäller för alla företag som bedriver verksamhet gentemot EU/EES-medborgare. Detta gäller alltså även om behandlingen av personuppgifterna sker på en server som inte är placerad inom EU/EES, och även om företaget själv har sin hemvist utanför EU/EES. Det innebär alltså att ett svenskt bolag inte kan kringgå lagen genom att lägga allt data i en molntjänst där servrarna står i t ex Indien. Snarare är lagen utformad så att den ställer ännu högre krav på ett företag om det väljer att lägga behandling av personuppgifter i ett land utanför EU/EES.
Lagens intention
Personligen tycker jag att mycket skriverier i media och utbildningar till företag om hur de ska säkerställa att de följer den nya lagen snabbt trillar ner på detaljer, tekniska och juridiska klurigheter snarare än att fokusera på vad som är andemeningen i lagen; vilket är att skydda dig som individ och konsument från att företag (och myndigheter) missbrukar ditt förtroende och inte respekterar din integritet. Jag tror stenhårt att företag som tar detta på allvar för kundens skull och inte ser på Dataskyddsförordningen enbart som något nödvändigt ont kommer att lyckas bäst även kommersiellt. Vem vill vara kund hos ett företag som inte bryr sig om ens rättigheter som kund?
Så därför tänkte jag i nästa inlägg jag skriva lite om vad dina rättigheter faktiskt är.
Ur kundens perspektiv 