1995 kom PUL, och genast blev det stora förändringar i hur företag hanterar personuppgifter. Om fem månader träder GDPR i kraft, och inget kommer att bli sig likt. GDPR står för General Data Protection Regulation, och påverkar alla företag och organisationer på alla nivåer. Det innebär stora utmaningar, men även stora möjligheter!
I grunden gör den nya dataskyddslagen så att individen har full bestämmanderätt över sina personuppgifter. Med personuppgifter menas inte bara personnummer och namn, utan alla uppgifter som på något sätt kan identifiera en person. Det innefattar alltså även IP-nummer, mailadress, cookies mm. Det ställer med andra ord helt nya krav på företag och organisationer.
Lagen omfattar allt handhavande av personuppgifterna, såväl insamlandet och lagrandet, som användandet, delandet och förstörandet av dessa uppgifter. För varje specifikt ändamål krävs individens samtycke. Du kan som företag alltså inte samla in cookies en masse från din sajt baserat på att du kanske har användning av dessa data i framtiden. Varje insamlad cookie måste vara godkänd för ett specifikt syfte. Har du flera olika syften med att samla in personuppgifter måste varje syfte ha ett separat godkännande från individen.
Se en film om den nya lagen här!
Det går heller inte, att som idag, informera om att cookies samlas in, och bara erbjuda en ”jag förstår”-knapp. Individen måste kunna säga både ja och nej, utan att förhindras att använda tjänsten. Givetvis får de uppgifter som krävs för att leverera en viss tjänst samlas in. Det går exempelvis inte att handla på postorder utan att uppge en adress dit varorna ska skickas. Men efter att varorna skickats får inte uppgifterna användas för andra syften.
Individen kommer dessutom när som helst kunna begära att få veta vilka uppgifter du som företag eller organisation har om personen. Dessutom begära att delar eller samtliga av dessa ska destrueras eller skickas någonstans, exempelvis till en konkurrent. Lagen gäller dessutom inte bara Europeiska företag och organisationer, utan alla som har att göra med europeiska medborgare. Det betyder att lagen påverkar företag och organisationer runt om hela jorden, för tänk dig att du åker på semester till Thailand, eller beställer något från eBay. I båda dessa fall hanterar utomeuropeiska organisationer dina personuppgifter, och lyder således under GDPR;
Allt är dock inte nattsvart, även om utmaningarna kommer att vara stora för många företag och organisationer. Men redan nu börjar vi se nya affärsmöjligheter som växer till följd av den nya lagen. Många företag kommer att behöva hjälp med att organisera sitt datalager, och konsulttjänsterna kring detta kommer bara öka.
Läs även: Datainspektionens sammanställning kring den nya dataskyddsreformen
Företagens marknadsföringssätt kommer också behöva förändras. Oriktad reklam är sedan länge klassad som ineffektiv, och de riktade reklambudskapen kommer inte kunna göras baserat på tidigare insamlade uppgifter på samma sätt. Det betyder att företag kan få en mycket bättre målgrupp för reklam, då de som går med på att få reklam är genuint intresserade av företagets varor och tjänster. Färre som nås av reklamen, men sannolikt större utdelning för varje spenderat marknadsföringskrona.
Ett annat område som sannolikt kommer växa markant de kommande åren är marknadsplatser där individer kan sälja sina personuppgifter. När företagen behöver godkännande för att samla in uppgifter kan vi inte längre räkna med att dessa är gratis. Individer kan då välja att själva sälja sina uppgifter för att användas i olika syften.
Exakt hur det kommer att se ut efter den 25/5 2018 vet nog ingen. Men vi kan vara överens om att det kommer se annorlunda ut. Frågan är om du är redo, både att följa lagen och att dra nytta av dess nya möjligheter.