Har du under den senaste veckan blivit bombarderad med e-postutskick om villkorsförändringar, ny integritetspolicy och andra mycket byråkratiska termer? Då är du långt ifrån ensam, för i går var det nämligen dags för den historiska dagen då EU:s dataskyddsförordning GDPR trädde i kraft.
Enligt Datainspektionen, som snart heter Integritetskyddsmyndigheten, är syftet med den nya förordningen GDPR (General Data Protection Regulation) att ”skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter”.
I kölvattnet av skandalerna kring brittiska aktören Cambridge Analytica, som på högst tvivelaktiga sätt såg till att samla på sig mängder av personuppgifter från användare på Facebook, har människors medvetenhet kring personlig integritet ökat. Det är välkommet, inte minst just för att öka förståelsen för vad GDPR innebär i praktiken.
Sverige har tidigare haft en liknande lagstiftning i form av personuppgiftslagen, men GDPR innebär ett ännu starkare skydd för dig som individ och gäller i hela EU. Den som samlar in personuppgifter av olika slag – allt från skostorlek till sjukdomshistorik – måste kunna motivera sitt motiv och visa på legitima skäl att lagra uppgifterna. När de inte längre behövs för att uppnå syftet ska uppgifterna raderas, utan att du som individ begär det.
Den som handhar personuppgifterna kallas personuppgiftsansvarig och måste informera berörda personer om vad de gör och varför de gör det. Det är orsaken till att du har nåtts av mängder av extra utskick via e-post och sms under den senaste tiden. Om utskicken inte görs är risken nämligen stor att avsändarna inte får fortsätta att lagra information om dig.
Det är intressant att studera hur olika aktörer väljer att angripa den nya lagens ankomst. Vissa kommunicerar raljerande att ”ja ja, vi måste väl göra det här då för att EU tvingar oss”, vilket ger bilden av att det är en jobbig förändring som inte är önskvärd.
Andra väljer att försöka vrida på det och spinna på formuleringar som ”vi bryr oss om dig” eller ”dina personuppgifter är trygga hos oss”. Inte sällan framställs det också som att det är avsändaren själv som har initierat de integritetsförbättringar som nu är ett faktum.
Ingen av dessa framställningar skildrar verkligheten. Lagstiftningen är en välkommen förstärkning av den personliga integriteten, inte minst på nätet, och ger dig som individ möjlighet nya möjligheter att agera för att få ha dina uppgifter ifred. Särskilt stort är skyddet för barn och för uppgifter som är extra känsliga, exempelvis sådant som rör sexuell läggning eller etnicitet.
Ett av de legitima skäl som finns för att behandla personuppgifter är att det krävs av lagen. För kommuner som Motala och Vadstena finns det mängder av saker som de måste göra, exempelvis att hålla ordning på hur många timmar i veckan ett barn går i förskolan eller vad du har för eldstäder som ska kontrolleras av sotaren.
Våra kommuner brister dock när det gäller kravet på att informera besökarna på sin hemsida. En sökning efter GDPR hos Motala kommun ger förvisso en länk till information om personuppgifter, men man måste söka aktivt. En blänkare om cookies är numera inte tillräckligt. Vadstena kommuns hemsida gör ett ännu sämre arbete. Besökaren informeras inte ens om att cookies sparas och en sökning efter GDPR ger ingen information alls.
Det är på tok för dåligt för en offentlig verksamhet. Att mindre aktörer och privatpersoner inte har hunnit anpassa sig till GDPR är förståeligt, men det finns inga ursäkter för en kommun att på det aktuella sättet bryta mot lagen. Här krävs åtgärder, och det omgående.