Skyddet av personuppgifter stärks
I dag träder den nya europeiska dataskyddsförordningen i kraft. Den stärker privatpersoners rätt till sina personuppgifter och ger bättre insyn i registren. Mångas e-post svämmar nu över av företags och organisationers förfrågningar om samtycke.
– Grundprincipen är att en person själv har rätt till sina personuppgifter.
Så sammanfattar Elias Aarnio den europeiska dataskyddsförordningen, ofta kallad GDPR, som träder i kraft i dag.
Han är vice ordförande för Electronic Frontier Finland (Effi) som driver medborgarnas elektroniska rättigheter. För organisationen är GDPR något av en seger, eftersom förordningen stärker skyddet av personuppgifter – eller om man vill se det så: ger makten över uppgifterna tillbaka till medborgarna.
GDPR är en EU-förordning och är därför som sådan bindande i alla medlemsländer. Den förutsätter att alla som upprätthåller någon form av personregister har offentligt tillgängliga beskrivningar där det framgår vilka personuppgifter som registreras och hur de används.
– De måste informera om vad de registrerar, när och var, hur de hanterar personuppgifterna samt hur länge, säger Aarnio.
De registrerade har möjlighet att ta del av uppgifterna – och kan också vända sig till den som behandlar uppgifterna och be att de som gäller honom eller henne tas bort. Man talar om rätten att bli raderad, även om rättigheten inte är alldeles absolut. Den har genom en EU-dom funnits redan tidigare, men nu förtydligas den.
Nytt är däremot att man kan be att de uppgifter som finns om en flyt- tas vidare till en annan part. Har man samtyckt att ge den informationen i elektronisk form borde man också få ut dem elektroniskt.
Den här punkten i förordningen har som syfte att i synnerhet stärka konkurrensen mellan företag, så att en kund enkelt kan ta med sig informationen om sig. Dataskyddsombudsmannen Reijo Aarnio har tidigare för HBL också lyft fram att ett syfte med GDPR är att ”skapa en äkta digital inre marknad inom EU”.
– Så att finska konsumenter kan köpa varor och tjänster från till exempel Sverige, Bulgarien eller Spanien.
De som upprätthåller register som nu omfattas är i första hand företag, myndigheter och organisationer.
Rätten att ta del av uppgifter enligt förordningen gäller enbart fysiska personer, inte juridiska.
Förordningen omfattar både digitala register och sådana som upprätthålls manuellt.
Läs meddelandena
En och annan e-postlåda har den senaste tiden fyllts av mejl där företag och organisationer informerar om förordningen och ber om samtycke, allt för att leva upp till GDPR.
Har den som upprätthåller ett personregister redan tidigare meddelat sina användare om det, är det som regel tillräckligt också när förordningen träder i kraft.
Det här innebär att du i vissa fall ombeds ge ditt samtycke, i andra fall bara informeras om hanteringen av persondata. I båda fallen är det en god idé att läsa igenom meddelandena noga – även om det kan kännas som att du översköljs av dem: Vem är det som vill behandla dina uppgifter, till vilket ändamål och varför?
Samtycket kan gälla en del av uppgifterna, och också återkallas.
Enligt förordningen ska texten vara tydlig och lättläst.
Svarar du inte händer sannolikt ingenting, förutom att företaget eller organisationen som behöver ditt samtycke inte kan behandla dina uppgifter. Alltid är det ändå inte krav på samtycke, företag som säljer varor måste kunna använda sig exempelvis av din adress för att skicka hem varorna till dig.
Stora böter
För företag och föreningar innebär GDPR en hel del arbete. Böter på 20 miljoner euro eller fyra procent av omsättningen hotar för den som inte uppfyller förordningen.
Elias Aarnio betonar ändå att dataombudsmannen börjar med att handleda eller företag eller organisation i att göra rätt, och kan sätta in sanktioner först om inte åtgärderna har vidtagits.
– GDPR är ändå inte så komplicerat och förändringarna är ändå inte så stora i synnerhet för dem som har skött sig sedan tidigare.
❞ Grundprincipen är att en person själv har rätt till sina personuppgifter. Elias Aarnio vice ordförande för Electronic Frontier Finland (Effi)
Övriga källor: Dataombudsmannens byrå, Svenska Dagbladet, Dagens Nyheter.