Hoppa till huvudinnehåll

EU:s nya dataskyddsförordning GDPR har trätt i kraft - det här innebär förändringen för dig

Mer rättigheter till dig som medborgare, och större ansvar för företagen - något som många välkomnar efter de senaste årens stora dataläckor. Tanken är bland annat att återskapa förtroendet för digitala tjänster.

Pling, pling, pling…

Under de senaste dagarna och veckorna har du med stor sannolikhet fått otaliga e-postmeddelanden från företag som har meddelat dig om att de har uppdaterat sin integritetspolicy:

Spotify, Microsoft, Norwegian, Telia, Schildts & Söderströms, Högholmens djurpark med flera.

Mejl av Schildts & Söderströms.
Mejl av Schildts & Söderströms. Allmänna dataskyddsförordningen (GDPR),Schuldts & Söderströms
GDPR-brev av Spotify
GDPR-brev av Spotify Allmänna dataskyddsförordningen (GDPR),Spotify

I flera fall vill de också ha ditt godkännande för att kunna fortsätta mejla dig i framtiden.

Bakgrunden till mejlströmmen är att EU:s nya dataskyddsförordning (GDPR) träder i kraft nu på fredagen.

Förordningen kräver att företag, föreningar och stiftelser och andra aktörer som har hand om personuppgifter måste meddela på ett klart och tydligt sätt att de samlar in uppgifter om dig och vad de gör med informationen.

Hoppa inte över meddelandena

Att läsa alla de aktuella e-postmeddelandena skulle för de flesta användare ta flera timmar eller till och med flera dagar. Samtidigt är det ändå viktigt att åtminstone snabbt titta på meddelandena.

De flesta nyskrivna integritetspolicyerna är strukturerade på liknande sätt, påpekar tidningen the Wall Street Journal.

I början står det ofta vilka data som samlas in om dig, sedan varför företaget behöver datamaterialet och vem annan som får ta del av det, och mot slutet hur du kan kontrollera uppgifterna.

Du kan till exempel få svar på följande frågor:

  • Hur länge sparas dina personuppgifter och varför?
  • Får de till exempel delas vidare till en tredje part?
  • Hur kan du ta bort uppgifterna?
  • Hur kan du avstå från vissa funktioner, till exempel skräddarsydd reklam?

Vad är personuppgifter?

Med personuppgifter menas all information som gäller dig: namn, adress, e-post, telefonnummer, kontonummer, IP-adress, platsdata, personnummer, bilder och samtals- och köphistorik med mera.

Det framkommer till exempel i EU-kommissionens broschyr om GDPR.

Endast en IP-adress är inte nödvändigtvis en personuppgift, men till exempel i kombination med datum och e-postadress så är det det.

Uppgifter anses alltså också vara personuppgifter om de endast “indirekt” kan användas för att identifiera dig.

Vissa personuppgifter - bland annat hälsa, etniskt ursprung, sexuell läggning och politiska åsikter - anses vara känsliga och har ett extra skydd. De får bara samlas in och användas i särskilda fall, till exempel då du uttryckligen har gett tillstånd till det.

Dessutom ställer både EU:s nya dataskyddsförordning och Finlands nya dataskyddslag också nya, strikta krav på att man inte ska få spara irrelevanta personuppgifter.

Tangentbord med ett öppet lås som tangent.
Tangentbord med ett öppet lås som tangent. Bild: Mostphotos / Illia Uriadnikov datasäkerhet,datasekretess,teknologi,data,digitalisering

Dina personuppgifter är din egendom

Syftet med förordningen är att förbättra EU-medborgarnas integritetsskydd.

Dina personuppgifter ska skyddas oavsett var i världen databehandlingen av dina uppgifter sker, om det handlar om en aktör som verkar inom EU.

EU-kommissionens tidigare vice ordförande Viviane Reding kommenterade så här när GDPR godkändes i april år 2016:

– Det här är en historisk dag för Europa. Den här reformen kommer att återuppbygga förtroendet för digitala tjänster och skapa förutsättningar för tillväxt i framtiden.

Efter Cambridge Analytica-skandalen och flera dataläckor under de senaste åren så skadar det säkert inte med mer tydlighet kring hantering av persondata.

Mark Zuckerberg grillas av den amerikanska kongressen.
Facebooks grundare och vd Mark Zuckerberg vittnade inför USA:s kongress i april. Mark Zuckerberg grillas av den amerikanska kongressen. Facebook,USA:s kongress,Mark Zuckerberg

Det handlar om att öka förtroendet både för de myndigheter och de företag som hanterar våra personuppgifter.

Självreglering räcker helt enkelt inte, har EU konstaterat. GDPR ska hjälpa till att återställa maktbalansen mellan konsumenter och företag - och alltså minska företagens makt till förmån för konsumenterna.

När det blir samma regler för alla i många olika länder så gynnar det troligen också konkurrensen.

Samtidigt medför dataskyddsförordningen ändå inga större ändringar i grundprinciperna för behandlingen av personuppgifter och den registrerades rättigheter - åtminstone inte här i Finland.

Stora delar av innehållet liknar nämligen det tidigare EU-direktivet från mitten av 1990-talet, som ledde till personuppgiftslagen i Finland år 1999.

Privatpersoner har också i fortsättningen rätt att till exempel kontrollera uppgifter om sig själv samt att be om att felaktiga uppgifter rättas och onödig information tas bort.

GDPR
GDPR Bild: Jiri Vaclavek Allmänna dataskyddsförordningen (GDPR)

Rätt att ta del av uppgifterna

Du har rätt att gratis få tillgång till uppgifterna om dig, i en relevant form, så att data kan överföras till en annan tjänst. Det är nytt att du alltså måste kunna få materialet i digital form vid behov.

Det här gör det lättare att till exempel byta från en webbtjänst till en annan, eller att byta operatör, bank, försäkringsbolag eller elbolag.

Felaktiga uppgifter ska också fortsättningsvis kunna korrigeras om de är felaktiga, ofullständiga eller oriktiga.

Du får bli "bortglömd"

Uppgifter om dig får inte heller behandlas längre än nödvändigt. Dessutom kan du själv be att de tas bort.

Du har alltså en slags rätt att bli "bortglömd”. Den som upprätthåller registret måste gå med på ditt önskemål om att ta bort dina personuppgifter om det inte finns lagliga hinder för det.

Ibland går ändå allmänintresset före. Eller så kan dina uppgifter i viss mån behövas för företagets verksamhet.

Informationen behöver inte heller tas bort genast.

Om personuppgifter äventyras

Den organisation som sparar personuppgifter måste meddela dataskyddsmyndigheten om uppgifterna stjäls eller förloras - till exempel i samband med ett dataintrång.

Det måste ske senast 72 timmar efter att kränkningen har uppdagats, om den hotar människors rättigheter och friheter, skriver Dataombudsmannens byrå på sin webbplats.

Tidigare har den här skyldigheten inte funnits, och det har till exempel varit svårt att veta hur vanligt det egentligen är med dataintrång inom företagsvärlden.

Om risken är stor måste användarna också informeras personligen.

Sanktioner möjliga

Sanktionsavgifterna för att inte följa GDPR kan vara stora - som mest 20 miljoner euro eller fyra procent av den globala omsättningen.

De stora sanktionerna är en viktig orsak till att många har tagit den nya dataskyddsförordningen på stort allvar.

Dataombudsmannen Reijo Aarnio väntas fokusera mest resurser på att övervaka större företag - åtminstone till att börja med.

– Troligen är det så att stora aktörer kommer att övervakas mer. Det har att göra med att vi enligt förordningen ska prioritera sådana fall som kan orsaka en större risk, kommenterade Aarnio till Svenska Yle i mars.

Han påpekar ändå att alla aktörer måste kunna visa att de följer reglerna.

Videon här ovan animerades och klipptes av Martin Huldin.

Källor: Dataombudsmannens byrå, EU-kommissionen, Yle, Ny teknik, Wall Street Journal

Läs också

Nyligen publicerat - Inrikes