Slut på slarv med personuppgifter
Nästa år träder den nya Dataskyddsförordningen, GDPR i kraft vilken sätter stopp för ett lättsinnigt användande av personuppgifter
Kunden kommer fram till kassan, möts av rutinfrågan é'ru medlem? Nä...Vill du bli? OK.
Körkortet blippas och kunden är plötsligt medlem i en kundklubb – utan att till fullo förstå vad det innebär.
Men nu blir det ändring.
Den 25 maj 2018 börjar förordningen allmänt känd som "GDPR" att gälla i Sverige.
–GDPR har kommit till för att stärka den personliga integriteten, säger advokat Henrik Bergström, partner på advokatfirman Bird & Bird.
Det tidigare EU-direktivet har implementerats olika i olika länder inom EU. I Sverige fick vi den svenska personuppgiftslagen (PUL) som kan betecknas som ganska vek i förhållande till andra länders förhållningssätt till hur personuppgifter kan och får hanteras. Datainspektionen har varit en relativt passiv tillsynsmyndighet och sanktionerna för den som brutit mot PUL har inte varit särskilt kännbara.
Nu är det dags för harmonisering över hela EU.
GDPR kommer att ställa betydligt högre krav på den som behandlar personuppgifter och man ska i princip inte kunna göra något utan kundens aktiva medgivande.
–Handlare som har kundklubbar måste först och främst bli mycket mer noggranna i själva kundmötet, säger Henrik Bergström
Den nya lagen innebär att handlaren måste vara tydlig med hur personuppgifterna används, och ge kunden möjlighet att ta ställning till vilka delar i ett kundklubbsmedlemskap man vill gå med på.
–Personuppgifter är idag en handelsvara som delas och i vissa fall säljs till tredje part. Konsumenten måste få ta ställning till om man vill få erbjudanden från ett annat företag i samma koncern, eller om de uppgifter man lämnat får spridas på annat sätt. Vill kunden ha sitt köpmönster kartlagt för att få riktade erbjudanden? Alla samtycken ska också gå att återkalla och konsumenten ska också kunna få alla sina uppgifter raderade. Informationskravet är betydande och konsumentens rättigheter utökas avsevärt i förhållande till dagens regler.Många företag har mängder av lagrade personuppgifter som inte används, och som inte får sparas ens med dagens krav.
Medvetenheten om att något måste göras ökar, men Henrik Bergström hävdar att det fortfarande finns betydande brister vad gäller insikten om vad som måste göras.
– Det är viktigt att företagsledningar börjar förstå vad GDPR betyder för deras bolag, säger Henrik Bergström.
Om företagen inte fått koll på hur de använder personuppgifter kan det stå dem mycket dyrt – sanktionsavgiften kan bli upp till 4 procent av en företagsgrupps globala omsättning.
Dags att sätta igång!
Henrik Bergström är tydlig med vilken ända man bör börja i:
Han kallar det strukturövning. Hur ser kundmötet ut när man värvar kundklubbsmedlemmar? Vilken typ av insamling görs och vad används insamlad data till? Hur hanteras personuppgifterna i dagsläget?
– Just kundmötet har i dag stora brister. Kundklubbarna har vuxit snabbt, tack vare att det är en så enkel procedur att bli medlem, säger han.
Ska GDPR följas till punkt och pricka kommer det att bli betydligt mer komplicerat att värva en medlem. Kunden ska ju ta aktiv ställning till en rad frågor som kan kräva eftertanke.
– Företagen behöver hitta en balans mellan enkelhet och lagkrav, säger han.
Som steg två bör man titta på hur väl de rutiner man har i dag motsvarar den kommande lagstiftningen.
Han framhåller att det framför allt är de stora företagen som har mycket att arbeta med, och att de trots sin storlek kan sakna rätt kompetens att hantera personuppgiftsfrågorna.
Han mena också att personalen behöver utbildas i hur de ska kommunicera med kunden och att man behöver se över sina avtal med externa parter och uppdatera interna policys kring personuppgiftshantering och IT samt se till att de efterlevs.
– Kapaciteten på it-sidan kan behöva höjas och det kan behöva investeras i nya system. Detta kommer att kosta tid och resurser, säger han.
Det företag som ertappas med att inte ha försökt åtgärda brister kommer att kunna råka illa ut. Datainspektionen kommer att börja arbeta proaktivt, och förutom hårda sanktioner kan slarv med personuppgifter leda till betydande bad-will hos allmänheten.
Ytterligare en viktig komponent i den nya förordningen är att företagen åläggs att rapportera incidenter till datainspektionen inom 72 timmar.
Då krävs det att företagen har rätt verktyg och kompetens för att upptäcka intrångsförsök snabbt.
–Det rör sig om väsentliga förändringar för de bolag som hanterar stora mängder med personuppgifter, inte bara i förhållande till kunden men också förändringar av interna processer och IT-system. Har man inte redan startat sitt arbete med dessa frågor redan idag så är det hög tid att göra det nu, säger han avslutningsvis.