Artiklar GDPR

GDPR – en avvägning mellan transparens och integritet

24 apr 2018

Data revolutionerar världen 

Data är det som driver informationsekonomin. Utvecklingen går från att data samlas in direkt från individer som fyller i formulär till ett system där människor iakttas och deras beteende spåras online eller via smarta enheter. Nya data utvinns i allt högre grad genom algoritmer som analyserar en mängd olika datakällor, bland annat sociala medier, platsdata och genomförda köp. Data är en resurs som kan skapa värde, men den är samtidigt förknippad med risker. Läckage, dataintrång, identitetsstöld och allmänt dålig datahantering som leder till förlorat kundförtroende hotar organisationer oavsett storlek eller bransch.  

Reformation av integritet och dataskydd 

Till följd av de snabba förändringar som sker anser EU att det behövs nya regler kring integritet och dataskydd. Därför träder dataskyddsförordningen (GDPR, General Data Protection Regulation ) i kraft den 25 maj 2018 inom hela EU. Då måste företag, bolag, offentliga myndigheter och organisationer som samlar in personuppgifter följa den nya förordningen. 

GDPR  syftar till att stärka och harmonisera dataskyddet för personer inom  EU. Den primära målsättningen med GDPR är att ge medborgarna kontroll över sina personuppgifter och att förenkla lagstiftningen för internationella företag genom att samordna lagstiftningen inom EU.  

 

En avvägning mellan transparens och integritet 

Ett av syftena med GDPR är att klargöra och öka individens rätt till integritet och dataskydd. Men avvägningen mellan transparens och integritet utgör en svår utmaning.  Ju mer information organisationer måste ge individen, desto mer komplexa villkor måste denne läsa och förstå.  

Med större ansvarsskyldighet och förpliktelser råder inga tvivel om att den nya förordningen sätter press på företagen. Ett brott mot GDPR kan kosta upp till 4 procent av den globala årsomsättningen eller 20 miljoner € (vilket som är högst) i sanktionsavgifter.


I nuläget är det många frågetecken som behöver rätas ut när det gäller hur GDPR kommer att fungera i praktiken. Det kvarstår frågor om hur företagen ska informera och formulera sig för att samtycket ska vara giltigt. Verklig transparens går bara att uppnå om mottagaren/individen kan förstå informationen fullt ut. 

 

Mer än bara efterlevnad 

Utöver de förändringar som företagen måste göra för att efterleva den nya förordningen, kommer den största omställningen att vara förändringen av organisationernas inställning gentemot integritet – för att inte bara tillgodose dataskyddslagstiftningen, utan även kundernas förväntningar. När en organisation analyserar sin affärsmodell, sin dataanvändning och sina flöden måste den även ta ställning till ansvar, transparens, förtroende, sekretess och affärsetik för att komma fram till hur man kan skapa värde. 

Integritet är en affärsangelägenhet. Eftersom individerna värderar sin integritet högt, är det en avgörande faktor för att bygga kundförtroende och uppnå konkurrensfördelar. Individer uppskattar dessutom enkla och transparenta processer som skyddar deras rättigheter.  

  • Omvandla potentiella risker till en konkurrensfördel. Rutiner för att hantera sekretess kan omvandlas till best practice och utnyttjas som säljargument. 
  • Bygg relationer med kunder, partners, investerare och tillsynsmyndigheter som präglas av förtroende. 
  • Personanpassning: Individer är mer villiga att dela information om de är övertygade om att den kommer att skyddas. Kommunikation är nyckeln. 

Om en olycka sker i form av ett dataintrång eller annan incident är det av avgörande betydelse att ha en handlingsplan i beredskap och att snabbt kommunicera med de berörda parterna och hantera frågan.   

 

Växande oro kring integritet och dataskydd

Det talas ofta om att människors inställning gentemot personuppgifter håller på att förändras. Å ena sidan är de flesta i allt högre grad villiga att dela information i sociala medier och tillåta att deras uppgifter samlas in och används för kommersiella och andra syften, ofta utan att ens läsa den, ofta, långa informationen om hur deras uppgifter kommer användas. 

Å andra sidan är människor idag mer oroade över hur deras uppgifter samlas in och behandlas. Enkätundersökningar visar att konsumenterna inte tycker att fördelarna med personliga erbjudanden uppväger de upplevda riskerna med att dela information. Många är oroade över hur organisationer hanterar deras data och vill behålla kontrollen över användningen. Det finns ett ökat intresse för integritet och dataskydd från konsumenter, media, företag, politiker och allmänheten. 

Individens rättigheter enligt GDPR  

Enligt det befintliga europeiska dataskyddsdirektivet är företag som vill använda personuppgifter redan skyldiga att inhämta samtycke från de berörda personerna om detta är den valda legala grunden. Den enskilda individen har dessutom rätt att få information om behandlingen av personuppgifter, åtkomst till den information som behandlas och rätt att få felaktigheter korrigerade. Individer får även invända mot att personuppgifter om dem behandlas, om inte den som ansvarar för uppgifterna har giltiga juridiska skäl. I och med GDPR blir dessa rättigheter emellertid mer distinkta, tydliga och långtgående.  

GDPR introducerar dessutom två nya rättigheter för individen, nämligen rätten att bli bortglömd och rätten till portabilitet.  

Rätten att bli bortglömd innebär att personer kan begära att deras personuppgifter raderas, och i de fall då en organisation redan har publicerat personuppgifter ansvarar denna organisation för att andra organisationer som använder dessa uppgifter går med på kravet. Denna rättighet är däremot inte obegränsad. Den måste vägas mot företagets legitima intresse att använda informationen, yttrandefriheten, samhällsintresset för hälsa, vetenskaplig och historisk forskning samt utövande eller försvar av juridiska krav. 

Rätten till dataportabilitet kräver att organisationer som använder personuppgifter på begäran från berörda individer överför uppgifterna till andra organisationer. Detta gäller uppgifter som en person har lämnat till en organisation baserat på personens samtycke eller för att genomföra ett avtal. 

Nya krav på information till den registrerade – transparens 

Att vara transparent och lämna lättillgänglig information till individer om hur din organisation kommer att använda deras personuppgifter är ett bärande grundvillkor i GDPR, oavsett hur personuppgifterna inhämtas och behandlas. Organisationer är skyldiga att informera individer om deras rättigheter. GDPR innehåller regler om detaljerad och specifik information till de registerade, och lägger stor vikt vid att informationen ska vara lättförståelig och lättillgänglig. Informationskraven är däremot inte lika stränga i de fall då den registrerade redan har tillgång till informationen, eller när det skulle innebära oproportionerlig ansträngning att lämna informationen till individen. . 

Information till de registrerade måste innehålla: 

  • Kontaktuppgifter till den personuppgiftsansvarige (eller dennes representant). 
  • Kontaktuppgifter till dataskyddsombudet. 
  • Information om i vilket syfte uppgifterna samlas in och behandlas och den rättsliga grunden till detta. 
  • Kategorier av personuppgifter och från vilken källa (om de inte inhämtats direkt från individen). 
  • De specifika ”legitima intressen” för den personuppgiftsansvarige, när behandlingen sker enligt denna legala grunden. 
  • Tidsperioden under vilken personuppgifterna kommer att lagras. 
  • De olika lagstadgade rättigheter som individen har, exempelvis åtkomst till och korrigering av personuppgifter och rätten att invända mot behandling. 
  • Rätten att när som helst återkalla samtycket. 
  • Rätten att lämna klagomål till en dataskyddsmyndighet och kontaktuppgifterna till denna myndighet. 
  • Alla mottagare eller kategorier av mottagare av personuppgifterna. 
  • Om personuppgifterna kommer att överföras till länder utanför EU och säkerhetsåtgärder. 
  • Om tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt (när uppgifterna samlas in direkt från individen). 
  • Förekomsten av automatiserade beslut, inklusive profilering och information om hur beslut fattas, betydelsen och konsekvenserna. 

 

GDPR slår även fast att den information som en organisation lämnar måste vara: 

  • Koncis, transparent, förståelig och lättillgänglig. 
  • Skriven på ett tydligt och enkelt språk, i synnerhet om den riktar sig till ett barn.  
  • Kostnadsfri. 

Få insikter, trender och inspiration från Bisnode Smart Insights