GDPR är en liten oansenlig förkortning med stor betydelse för våra digitala liv. Det är EU:s nya dataskyddsförordning som innebär en rejäl reglering för hur företag och organisationer får samla in och använda uppgifter om sina kunder.
GDPR står för General data protection regulation och förordningen väntas träda i kraft den 25 maj. Enligt de nya reglerna måste företagen tydligt redovisa exakt vilka uppgifter som samlas in. Kundens godkännande måste även inhämtas i ökad omfattning. Konsumenternas ges utökade möjligheter att kräva ut information om hur den som hanterar deras personuppgifter gör riskbedömningar eller hanterar säkerhetsincidenter. Enligt den nya förordningen har företag 72 timmar att anmäla ett dataintrång till Datainspektionen.
Företaget kan inte längre hänvisa till att de uppgifter som samlas in inte kan anses vara kränkande. Med den nya förordningen är allt känsligt, utan undantag - vilket gör att väldigt många fler databaser berörs.
Google har redan börjat anpassa sig genom att meddela att man slutar maskin-skanna innehållet i gmail-användarnas epostmeddelanden. Annonserna ska istället baseras på surfvanor och sökhistorik.
För att tvinga företagen att ta förordningen på allvar inför EU hårda sanktionsmöjligheter mot de som slarvar med böter på uppåt 20 miljoner euro eller fyra procent av årsomsättningen. En utgift som heter duga för ett litet företag med en omsättning på kanske bara en miljon. Förordningen gör ingen skillnad på företagsstorlek. Dessutom måste företagen utse en ansvarig person på ledningsnivå.
Syftet med den nya lagstiftningen är att harmonisera reglerna för alla unionens medlemmar. Många medborgare har efterfrågat ett bättre skydd för sina personuppgifter på grund av de många intrång och läckor som flera stora mediebolag utsatts för. I kampen om marknadsandelar har dessutom de stora sociala medieplattformarna flyttat gränserna för personuppgiftsanvändandet. Användaravtalen man som kund obekymrat klickar ja på för att snabbt få komma in och leka på Apples, Facebooks eller Snapchats nöjesfält bara växer i längd och juridisk komplexitet för var år.
Som mediateknikpionjären Jan Stenbeck konstaterade när han kastade det svenska public service-monopolet över ände genom att sända reklamfinansierade tv3 från Storbritannien: teknik slår alltid politik. Åtminstone på kort sikt.
GDRP innehåller även regler om rätten att få bli bortglömd på nätet. Individer ska få ökade möjligheter att få uppgifter på sökmotorer bortplockade, när sökresultatet är oriktigt, irrelevant, eller överflödigt.
För medborgarnas innebär med andra ord GDPR ett ökat skydd, men också ett ökat ansvar för att ta reda på vad man egentligen godkänner när man klickar ”ja” på frågerutor som kommer att bli fler.
För företagen betyder det en nyttig genomgång av hur man egentligen hanterar kundernas personuppgifter. Ökad transparens har alla att vinna på i det här fallet. Men det kommer också att betyda stora merkostnader när den interna uppgiftshanteringen analyseras och anpassas. Kostnader som kommer att läggas på kunderna i sista led.
För reklamfinansierade branscher kommer att det dessutom troligen att betyda intäktstapp när möjligheterna att skräddarsy annonserna på individnivå inskränks.
En bransch kommer dock att frodas: GDRP-konsulterna som nu en tid kan skära guld med täljkniv medan ett helt näringsliv skriker efter hjälp att tolka GDPR och hinna ställa om inför den 25 maj.
Petter Lobråten