Informera mera!

När den nya dataskyddsförordningen träder i kraft den 25 maj 2018 blir det en stor förändring, både för dem som hanterar personuppgifter och för dig som kund eller användare av tjänster. Dataskyddsförordningen kräver mer och tydligare information än idag om hur personuppgifter används.

Personuppgifter är information som direkt eller indirekt kan identifiera en fysisk person. Det kan vara namn, adress, telefonnummer, lokaliseringsuppgifter, IP-adress, alias eller smeknamn. Det kan också vara en eller flera faktorer som sammantagna kan peka ut en fysisk person, t.ex. en kombination av dess fysiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identiteter.

Definitionen av personuppgifter täcker helt enkelt in många olika typer av uppgifter. Det är därför viktigt att förstå hur bred denna definition är, så att alla uppgifter skyddas på ett korrekt sätt.

Att få information om hur personuppgifterna används är en central del i dataskyddsförordningen. Det avspeglas också i att sanktionsavgifterna för överträdelser av informationsplikten är de högsta avgifterna bland brotten mot dataskyddsförordningen. Avgiften kan motsvara 4 % av den globala årliga omsättningen eller 20 miljoner euro.

Organisationer kommer att behöva specificera vilken rättslig grund man har för behandlingen. Man måste också lämna tydlig information om personuppgifter kommer att överföras till land utanför EU eller inte, liksom beskriva hur personuppgifterna skyddas vid en sådan överföring.

Jag bedömer ändå att det mest betungande är kravet på att specificera lagringstiden för personuppgifterna. I många fall lagras flera olika kategorier av personuppgifter (namn, adress, IP-adress, personnummer etc.) för olika syften och det kan betyda att olika kategorier av personuppgifter behöver sparas olika länge beroende på syftet. Det behöver alltså organisationen bena ut och informera om.

Informationen ska ges i en koncis, klar, tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn (Artikel 12, p. 1). Som man kan förstå kommer det att bli en utmaning: Omfattande information måste lämnas, samtidigt som den ska vara koncis och begriplig.

På senare tid har en del organisationer börjat lämna information om personuppgiftsbehandlingen i flera steg, där man som användare eller kund först får en sammanfattning av de viktigaste delarna. Vill man läsa mer om ett speciellt avsnitt, kan man sedan klicka sig vidare för mer detaljerad information. Denna struktur kallas ”Layered Notice” och används av bland annat Microsoft.

Jag tycker också att man bör dela upp information så att den bara visas för de kunder eller användare som den är relevant för. Om man till exempel erbjuder en freemiumtjänst respektive en tjänst man tar betalt för, så behöver freemiumanvändarna inte informeras om vilka personuppgifter som behandlas i samband med betalning.