EU:s nya datalag GDPR – maj 2018

[KRÖNIKA] Om ett drygt år, i maj 2018, kommer EU:s nya dataskyddslag att träda i kraft.  Vi behöver både integritet och frihet

Det uttalade syftet är vällovligt – att stärka individens integritet och rätt till sitt privatliv. Men det finns två problem. Det ena är att det är väldigt oklart om det verkligen blir resultatet. Det andra är att lagen gynnar storföretag och kraftigt missgynna mindre företag.

Idag betraktar vi internet som en självklar tillgång och resurs i våra dagliga liv. Till och med som en grundläggande mänsklig rättighet. Och visst bidrar fri tillgång till information och tjänster till att ge allt fler människor i hela världen mer jämbördiga möjligheter.

Mot denna frihet står omsorgen om den personliga integriteten. Inom EU betraktas även den som en grundläggande mänsklig rättighet. Rätten till ett skyddat privatliv är också inskrivet i FN:s deklaration om de mänskliga rättigheterna.

I syfte att stärka idén om det okränkbara privatlivet har Europeiska kommissionen tagit fram två nya direktiv, Dataskyddsförordningen och ePrivacy-direktivet, som berör datahantering och personlig integritet och som enligt planerna ska lagfästas redan nästa år, den 25 maj 2018. Direktiven kräver att kunden ger sin tillåtelse till all datainsamling av privat karaktär.

Det är högst oklart om de kommer att skydda medborgarnas rättigheter eller om de främst gynnar stora företag och gör det svårare för mindre att göra affärer i Europa. De innebär en skärpning av reglerna för hur information om framför allt konsumenter får samlas in, lagras och användas. Detta berör alltså i princip samma öppna information som används av myndigheter och samhällsorgan för att ge medborgarinformation. En grundprincip blir att inget företag kan äga personlig information om sina kunder utan endast ha den till låns. Därtill ska varje kund kunna säga ja eller nej till cookies utan att det ska påverka möjligheten att utnyttja ett erbjudet köp eller tjänst. Vidare får inte en leveransadress utnyttjas till exempelvis reklamutskick – om inte kunden uttryckligen gett sin tillåtelse.

De nya reglerna kan därmed bland annat skapa svåra handelshinder och, enligt U.S. News and World Report, skada amerikanska teknikföretag som erbjuder information eller tjänster till användare inom EU. Resultatet begränsas inte till att ett stort antal populära appar inte längre blir tillgängliga inom EU – utan blir också att många digitala massmedier inte längre kan erbjuda gratis innehåll som finansieras av annonser.

Olika typer av information kräver olika hantering 

Dataskyddsförordningen och ePrivacy-direktivet ställer upp samma regler och krav på tillstånd för många olika typer av information. Till exempel behandlas information som enkelt kan användas för att ta reda på någons identitet, som namn, personnummer, hemadress, telefonnummer på exakt samma sätt som mindre personlig information, till exempel pseudonymer, cookies, gps-information eller IP-nummer – som ofta används just för att skydda personers identitet. På så sätt kan företag samla information om exempelvis sina kunder med stor hänsyn till deras personliga integritet. 

Att nu lägga alla typer av data i samma korg, alltså låta dem omfattas av ett och samma regelverk, tar bort företagens incitament att ta denna hänsyn till integritet. Om det inte finns någon vinst med att undvika att samla in namn och telefonnummer – varför då inte samla in allt? Den utvecklingen missgynnar den personliga integriteten och går helt på tvärs mot de regelverk och principer som marknaden under många år byggt upp.

Ytterligare en seger för storföretagen

Tanken att en enda uppsättning integritetsregler är giltig för alla typer av information är av samma slag som att använda samma säkerhetsregler för pappersklämmor som för flygplansmotorer. Det tänkesättet lär ifrågasättas av företag som tillhandahåller den infrastruktur och de tjänster som skapat det fria internet.

De nya reglerna kräver att varje konsument ger sitt aktiva samtycke till datainsamling. Det skapar stora problem för alla B2B-företag som exempelvis skapar hemsidor och e-butiker åt andra företag. De har själva inga direkta relationer med slutkonsumenterna (inbyggt i hemsidans konstruktion, som direktivet kräver) och kan därför inte skaffa deras samtycke. För mindre B2B-företag blir det därmed oerhört svårt att följa lagen. Resultatet blir då även att de webbföretag och e-butiker som anlitar B2B-företagen – och som är de som till stor del utgör det fria internet – får stora problem att fortsätta existera.

Både frihet och integritet kan skyddas

Även om lagens skrivning är på plats är den fortfarande öppen för tolkning. Det är alltså fortfarande möjligt att påverka hur de två direktiven ska tolkas genom att delta i diskussionerna i grupper som IAB EU eller genom att själv ge direkt feedback. Detta är komplexa lagar som kan få omvälvande konsekvenser när de genomförs, för såväl företag som för EU-medborgare. 

Vi kan nog alla enas om att integritet är en grundläggande mänsklig rättighet som dock inte behöver medföra att vi plockar isär det fria internet.

Magnus Johansson, Nordenchef Rocket Fuel