Dina rättigheter som kund enligt nya dataskyddslagen (GDPR) – del 3

Publicerad den av CAJ

Trots att det är mycket ståhej kring den nya dataskyddslagen och på många låter det som att du som kund nu får helt nya rättigheter, så stämmer det inte helt. Många rättigheter har du haft ända sedan oktober 1998 när PUL infördes men sanningen är att många företag helt enkelt har struntat i dem eller inte haft koll på vad som gäller. (Förmodligen inte du heller om vi ska vara ärliga..). Varken risken eller straffet för ett företag att ”åka dit” på att bryta mot PUL har inte varit särskilt betydande varför lagenlig behandling av personuppgifter inte varit en prioritering. Men i ljuset av att det numera kan komma att kosta upp till 4% av global årsomsättning att bryta mot nya lagen så har det blivit lite mera action på frågan i styrelserummen om man säger så..

Nå, vilka rättigheter har du då? Och vilka är nya?

Din rätt till information

Först och främst har du som konsument rätt till information om vad företaget har tänkt att göra med dina personuppgifter innan du bestämmer dig för att bli kund (eller när de ber dig om ytterligare uppgifter under kundförhållandet). Detta är inte nytt men den nya dataskyddslagen kräver att företaget måste ge dig mer information än tidigare. Här nedan följer några exempel:

  • Företag måste tala om för dig varför de anser sig ha rätt att behandla ditt data och för vilka ändamål. Detta kallas på juridiska för ”laglig grund” och påverkar vad du egentligen måste gå med på. T ex så behöver du aldrig gå med på att de får använda dina uppgifter för marknadsföring om du inte vill. Däremot kan du inte be dem leverera en produkt hem till dig utan att de får registrera din adress. Att företag måste informera om laglig grund är nytt.
  • Hur länge de har tänkt att spara uppgifter om dig måste de också tala om. Att de måste informera om det är nytt, men själva regeln om att de måste ”gallra” personuppgifterna i sina system är inte ny så här finns en hel del praxis etablerad. T ex är det en generell regel att de inte får behålla dig i sitt kundregister mer än ett år efter att du slutat vara kund om det inte finns särskilda skäl.
  • De måste informera om de använder ditt data för att profilera och segmentera dig på något sätt och hur de i så fall gör det. De kanske inte behöver uppge exakt hur algoritmen ser ut, men i alla fall beskriva huvudsaklig logik bakom profileringen. Om denna profilering är till grund för vilken direktmarknadsföring du får så har du rätt att säga nej till det. Detta är nytt i och med nya dataskyddslagen.
  • Sedan måste de uppge kontaktuppgifter till sitt dataskyddsombud, hur du ska bära dig åt för att framföra klagomål samt informera om alla andra rättigheter som du har och hur du ska kunna utöva dem.

Din rätt till insyn, ändring och radering

Eftersom lagstiftaren tycker att det är ditt data (som företaget har fått låna) så har du rätt till total transparens och kan därför begära ut ett så kallat ”registerutdrag” från alla ställen där du är kund. Detta ska leverantören tillhandahålla kostnadsfritt en gång per år, men om du gör det fler gånger så har företaget rätt att ta betalt för det om de vill. Detta är inte en ny rättighet, men däremot säger nya dataskyddsförordningen att du ska kunna ta del av det elektroniskt om du vill vilket är nytt.

Vad är då ett registerutdrag? Kort sagt kan man säga att ett registerutdrag ska innehålla all data som finns om dig i alla system och andra ”register” på företaget som du är kund hos. Det innebär alltså alla dina kontakt- och adressuppgifter, dina köp och betalningar, dina ärenden hos kundservice, ditt surfbeteende på deras hemsida, attribut om hur du är profilerad, om du öppnat eventuella e-postutskick eller klickat på länkar i dessa, etc. Alltså i princip allt som de kan koppla ihop med dig som individ och som de sparat i sina system.

Det enda som de inte behöver ta med i registerutdraget är de uppgifter som de måste behandla på grund av någon annan lag eller möjligtvis sådant som kan vara kopplat till att de utreder om du på något sätt bryter mot deras kundvillkor. (Här är en väldigt upplysande länk till en artikel av en person som bad om ett registerutdrag från dejtingappen Tinder om du vill få en känsla för vad som skulle kunna ingå i ett registerutdrag i dagens sociala media-värld.)

Ett registerutdrag gör det ju också lättare för dig att se om de har några uppgifter registrerade om dig som är felaktiga eller om de sparat dem för länge. Du har då rätt att få dem rättade snarast eller helt borttagna (raderade) om du inte längre vill att företaget ska ha dem kvar i sina system och de inte har någon annan ”laglig grund” för att behålla dem. Den vanligaste anledningen till att de inte kan ta bort dem direkt är att du har ingått ett avtal som ännu inte löpt ut och/eller att det finns någon form av uppsägningstid enligt avtalet eller liknande. Inget av detta är dock nya rättigheter utan har funnits med i PUL.

Din rätt till dataportabilitet

Här kommer vi till en helt ny rättighet tack vare den nya lagen och det är precis vad det låter som. Du har rätt att ta med dig ditt data från en leverantör till en annan. När jag hörde detta första gången så tänkte jag att det var helknäppt! Det är ju företagets data, tänkte jag, inte kan en kund bara få ta med sig data hursomhelst?! Men ju mer förståelse och acceptans för lagstiftarens tanke om att det faktiskt inte är företaget som äger detta data utan det är du själv som individ så blir det lite mer logiskt. Tanken är att företag inte ska få låsa in dig som kund genom att hålla ditt data som gisslan vilket är en bra rättighet för dig som kund.

Sedan kan man helt klart säga att dataportabilitet inte kommer att kunna tillämpas på ALLT ditt data. Det kommer att behöva utarbetas praxis i olika branscher för vad som är rimligt att man får portera men som individ ser man ju en stor nytta i att få ta med sina spellistor från en musiktjänst till en annan, sina betalningsmottagare hos banken till en ny bank, sin hälsodatahistorik från en app till en annan, etc.

Det som är intressant är att lagen enbart säger att en leverantör är tvungen att släppa ifrån sig ditt data, men de är inte tvungna att ta emot det från en potentiell kund som kommer och knackar på dörren. Gissningsvis kommer dock detta att lösa sig på rent kommersiella grunder. Vilket företag kommer att vilja neka nya kunder att få ta med sig sitt data?

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

Gravatar
WordPress.com-logga

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Avbryt

Ansluter till %s

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.