Nya stenhårda dataregler hotar svenska startups med miljonböter

Breakit - Nya stenhårda dataregler hotar svenska startups med miljonböter

Foto: JESSICA GOW / TT/Leif R Jansson/TT

Jonas de Lange

Reporter

En ny EU-lag innebär att alla techbolag måste ge användarna möjlighet att få sina personuppgifter raderade eller flyttade till en annan tjänst. Många startups är ovetande om förändringen - som kan ge dem en rejäl ekonomisk smäll.

Läs också:  Här är juristernas bästa startuptips.

Upp till 4 procent av bolagets globala omsättning med ett tak på 20 miljoner euro. Det kan straffet bli för den som bryter mot den nya dataskyddsförordningen som just nu genomgår den sista putsningen i EU-maskineriet.

Den nya förordningen kommer att ersätta Personuppgiftslagen (PUL) och göra att reglerna blir samma för alla EU-länder.

Den innebär att individen får betydligt större rätt till sina egna personuppgifter - och att de bolag som bryter mot reglerna ska få hårdare straff.

Caroline Olstedt Carlström, Internationell dataskyddschef på Klarna och ordförande i föreningen Forum för dataskydd, lyfter framför allt fram två saker:

“Rätten att bli raderad är en viktig punkt tillsammans med det som på engelska kallas data portability”, säger hon.

Rätten att bli raderad handlar om att privatpersoner kan kräva att raderas fullständigt från ett bolags databas om det inte föreligger särskilda bestämmelser som hindrar detta. Undantagen gäller till exempel brottsregister och patientjournaler.

Med data portability, eller dataflyttbarhet som det blir direkt översatt, menas fenomenet att man kan kräva att få ut alla sina personuppgifter från en tjänst i ett allmänt tillgängligt format.

Vi vet, det är krångligt.

För det första måste man känna till vad som räknas som en personuppgift. I Sverige är det alla uppgifter som direkt eller indirekt kan kopplas till en specifik person. Det innefattar bland annat namn, bilder, ip-adress, mejladress, personnummer och så vidare.

Exakt vad som räknas som ett tillgängligt format är fortfarande högst oklart. För vissa bolag kan dock just dataflyttbarheten bli klurig.

“Konkret kan man säga att en användare kan höra av sig till ett bolag och be om att alla ens personuppgifter flyttas över till en annan tjänst. Det här gör att bolagen måste ha mycket bättre koll på vilka personuppgifter som läggs upp på tjänsten”, säger Sofia Bruno, dataskyddsexpert på Kivra, som levererar en slags digital brevlåda.

Det kan till exempel gälla en privatperson som har laddat upp bilder i en social app.

“Det kan bli särskilt svårt för bolagen när användarna själv bidrar med innehåll. Det blir väldigt krävande att kontrollera vilka personuppgifter som läggs upp på tjänsten. Ibland kanske man får in personuppgifter som man inte egentligen vill hantera. Det är sådant man måste börja fundera över nu”, säger Caroline Olstedt Carlström.

I det stora hela verkar det dock som att reglerna blir ungefär samma som innan. Med den markanta skillnaden att man, som bolag, faktiskt måste följa reglerna. Annars åker man på ekonomisk stryk.

“De nya reglerna gör det också tydligare på flera sätt. Både för användaren, eller ‘den registrerade som det officiellt heter, och för bolgen. Det blir tydligare att det är yttersta ansvaret ligger på ledningen och bolagsstyrelsen, det blir tydligare vilka rättigheter användaren har och det blir tydligare att det faktiskt finns krav”, säger Caroline Olstedt Carlström.

Enligt Sofia Bruno blir det även ett eget krav om tydlighet kring personuppgiftslagring från bolagens sida.

“Enligt den nya förordningen måste bolagen vara helt säkra på att användaren faktiskt har förstått vad denne tackar ja till. Man kan inte längre skriva på juridiskt språk, utan man måste faktiskt förklara för användaren vad man samlar in och varför”, säger hon.

Så det räcker inte att bara gömma personuppgiftshantering mitt i det övriga användaravtalet längre?
“Det gör det egentligen inte idag heller, men eftersom det inte finns några ordentliga sanktioner är det vissa som inte bryr sig.”

Om allt går enligt tidsplanen med den nya förordningen kommer den att bli gällande i hela Europa om ett par år. Det kan alltså bli en hel del bolag som måste tänka om och framför allt rätt kring dataskydd på bara två år.

Sofia Bruno tror dock att de nya reglerna kan vara en fördel för startups snarare än ett extra hinder.

“Som nytt bolag kan det här nästan bli en konkurrensfördel eftersom man får möjligheten att göra rätt redan från början och inte behöver anpassa en existerande organisation till det här. Eftersom man måste vara tydligare med vilka personuppgifter man samlar in ger det också en möjlighet att inleda en dialog med sina användare och ha närmare kontakt med dem. Det behöver inte vara negativt för användarupplevelsen att få information om hur ens personuppgifter kommer användas”, säger hon.

Caroline Olsted Carlström tror å andra sidan att det också kan bli en börda för vissa bolag.

“Om man på något sätt samlar in eller använder personuppgifter är det jätteviktigt att ha fokus på hanteringen redan från början. Om man använder lean startup-modellen är man kanske van vid att snabbt kunna göra ändringar i produkten eller rulla tillbaka en process. Nu blir det än tydligare att man inte kan släppa en ny tilläggstjänst och i efterhand komma på att informationen borde vara krypterad”, säger hon.

Kommer lean-modellen dö ut med de nya reglerna?
“Nej, absolut inte! Men det räcker inte längre med en väldigt förenklad metod. Ett starkt integritetsskydd måste vara standarden.”

Nyfiken på vad du ska tänka på i samband med förändringen? Här är juristernas bästa startuptips. 

Läs fler artiklar
LÄS MER