Ekonomi

EU:s nya datalagar påverkar dig och alla företag

Borås
Marielle Eide är jurist vid advokatfirman Delphi och expert på EU:s nya dataskyddsförordning. Det finns ett ökande informationsbehov från e-handelsbranschen kring denna fråga.
Foto:

På nätet finns mer information om dig än du vet. Det vill nu EU komma tillrätta med. Men en ny dataskyddsförordning kommer att få stora konsekvenser för e-handelsföretagen i vårt område.

Artikeln publicerades 6 maj 2016.

Den svenska personuppgiftslagen, Pul, kom till på 90-talet i en tid när nätet var nytt och ingen kunde stava till sociala medier. Numera har varje företag, myndighet och institution en betydande digital verksamhet. Och lagringen och behandlingen av personuppgifter för olika ändamål har exploderat.

För att uppdatera lagstiftningen kring området har EU precis klubbat igenom en ny dataskyddsförordning, som kommer att gälla för alla företag oavsett verksamhet. Till skillnad mot direktivet som låg till grund för Pul blir det automatiskt tvingande lagstiftning för samtliga medlemsländer – som kommer att börjar gälla exakt två år efter beslutet, 25 maj 2018.

Och anledningen till att såväl medborgare som företag och myndigheter bör intressera sig för den nya lagen är att personskyddet stärks väsentligt, samtidigt som sanktionerna för de som bryter mot reglerna blir mycket kännbara.

– Ett företag som bryter mot dataskyddsförordningen kan få ett vite på upp till 20 miljoner euro eller motsvarande fyra procent av årsomsättningen för hela den koncern det ingår i. Det kommer att bli väldigt kännbart, säger Marielle Eide, jurist vid advokatfirman Delphi och expert på IT- och e-handelsjuridik.

Hon och hennes kollegor ger råd till de företag som kommer att påverkas av den nya förordningen; och det är egentligen de flesta, men Boråsregionens e-handelsföretag, vars kärnverksamhet är digital, kommer förordningen att bli extra viktigt att se över sin hantering av personuppgifter.

– Den nya förordningen kräver att det ska vara ”privacy by design and default”, dataskydd genom utformning och som standard. Det betyder att alla företag måste kunna garantera integritetsskydd för kunderna på nätet – det ska vara inbyggt i systemen.

– Dagens lagstiftning har inte innehållit några sanktioner för de som bryter mot den, vilket betyder att det stått mycket lågt på företags prioriteringslistor.

Den nya lagstiftningen kommer att vara något som istället behöver dryftas i bolagens styrelserum och i ledningarna, slår Marielle Eide fast.

– Och det är viktigt att komma ihåg att personuppgifter enligt lagstiftningen är något betydligt mer vidsträckt än till exempel bara en bild, ett namn eller en bostadsadress. Redan nuvarande lagstiftning slår fast att det kan handla om en ip-adress på nätet som delas av flera hushåll, en e-postadress som går till ett företag – eller en gps-position som visar var en person är. Lagstiftningen får konsekvenser inte bara för företag som riktar sig mot vanliga konsumenter, utan även mot andra företag.

Vad betyder detta då konkret för den digitala handeln och för konsumenterna? Jo, för det första kommer företagen att tvingas vara mycket tydligare med vilken information de lagrar om kunderna och berätta vad de ska använda den till.

– Det kommer inte räcka med en informationsruta där du ska sätta ett kryss och någon länk till en lång text ingen orkar läsa. Informationen måste vara tydlig och enkel att förstå.

Företag som inte har gjort rätt kan tvingas ta bort värdefulla data om kunderna. Ett konkret exempel på detta är att ett företag inte får fortsätta skicka nyhetsbrev och information hur länge som helst efter att en kund gjort ett köp om man inte fått samtycke av kunden på rätt sätt. Och kravet på ett samtycke inskärps mycket tydligare i den nya lagstiftningen.

Och det finns fler ganska omfattande konsekvenser som lagstiftningen för med sig.

Ett krav är vad som på lagtekniskt språk kallas ”uppgiftsportabilitet”, vilket betyder att en användare som är kund hos ett företag eller är användare av ett socialt medium ska kunna kräva att uppgifterna flyttas över till ett annat ställe på nätet – något som kan bli rätt omfattande, i synnerhet för sociala medier som Facebook.

– Precis som annan lagstiftningen kommer det att behöva utarbetas en praxis kring lagstiftningen för att veta exakt hur den ska tolkas. Men tanken bakom det hela är att skapa ett integritetsskydd för kunderna och för EU att uppnå en ”digital single market”, en gemensam inre digital marknad.

Fakta

Marielle Eides fem tips till företag

Skapa medvetande internt om den nya lagstiftningen och lyft frågorna till lednings- och styrelsenivå.

Gör ett projekt där ni säkerställer att ni följer reglerna.

Utse en ansvarig, ett personuppgiftsombud, internt.

Säkerställ att nödvändig policy och information finns på plats.

Börja redan idag, två år går fort!

Visa mer...