Kort sagt: Om mindre än ett år ersätts svenska personuppgiftslagen av en betydligt strängare EU-förordning. Man ska inte överdriva konsekvenserna, men inte minst för e-handelsbolagen tickar klockan, då nästan samtliga IT-system måste ses över.
Av Erik Olausson, chefredaktör
Varningarna om ett kommande storebrorssamhälle har hörts i decennier. Men få hade väl anat att storebror skulle visa sig vara Facebooks grundare Mark Zuckerberg, eller Hermann Haraldsson, vd för den miljardvärderade e-handelsraketen Boozt i Malmö.
Själv blir jag påmind om hur minutiöst företagen kartlägger vårt agerande på nätet varje gång jag går in på New York Times nätupplaga, och får se en bannerannons för just det hotell i Italien eller soffbord i Mio Möblers webbshop jag tittat på veckan före.
Med den nya dataskyddsförordningen, eller GDPR på EU-byråkratiska, skärps reglerna för hur företagen får samla in och hantera data om kunder, leverantörer och anställda. Bland annat måste det finnas ett uttalat syfte med insamlingen och den registrerade har rätt att få sina uppgifter helt raderade, eller överflyttade till en konkurrents databas.
Böterna blir rejält saftiga, uppåt fyra procent av koncernens omsättning eller 20 miljoner euro vid grova övertramp.
De nya reglerna gäller allt som kan härledas till en identifierbar person. Härunder faller allt från kundregister och lönesystem till lagrade cookies och IP-nummer. Det är med andra ord knappast något företag som inte kommer påverkas av att reglerna skärps och det märks hos affärsjuristbyråerna, som redan har fullt upp med att hjälpa bolagen anpassa sig till de kommande lagkraven. Exempelvis har Lindahl i dag en stab på ett 20-tal jurister som bara arbetar med frågor kring GDPR, varav en handfull i Skåne.
För vissa delar av näringslivet kommer skärpningen bli extra kännbar. Hit hör mindre företag som tandläkarmottagningar eller frisörsalonger med mer eller mindre manuell hantering av kundregister, till exempel i ett Excelark på datorn. För dessa ostrukturerade register finns det undantag i personuppgiftslagen, undantag som nu försvinner.
De nya reglerna sätter även stopp för den filosofi som säger att nystartade nätbolag i första hand ska skaffa sig användare, i andra hand fundera på affärsmodellen. EU-direktivet kräver att du redan från början ska veta varför du samlar in personuppgifter, att lägga dem på hög för att först senare komma på hur du ska slå mynt av dem fungerar alltså inte.
För e-handelsbolagen väntar andra utmaningar. För att få spara data om besökarna kommer de framöver behöva ett aktivt medgivande från konsumenterna. Det räcker inte med att baka in hanteringen av personuppgifter i de allmänna köpevillkoren, konsumenten måste aktivt klicka ja för att medge datainsamlingen.
Det är besk medicin för en bransch besatt av konverteringsgrad, alltså att konvertera spekulanter på sajten till köpare. I regel är det bara några få procent av besökarna som faktiskt genomför ett köp och varje extra klick som krävs för att nå dit riskerar att stöta bort tveksamma konsumenter och spontanshoppare.
Man ska inte överdriva effekterna av den nya dataskyddsförordningen, i stora delar finns kraven redan med i svenska personuppgiftslagen från 1998. Och dagens nätshoppare är trots allt ganska vana vid klicka sig förbi informationstexter om juridisk friskrivning.
Likväl kommer det krävas justeringar i en lång rad IT-system. Inte minst hos e-handelsbolagen som är bland de flitigaste på att samla att samla in uppgifter om faktiska och presumtiva kunder, såväl för att praktiskt hantera beställningar, leveranser och returer som för att optimera marknadsföringen. Av de stora skånska e-handelsbutiker Rapidus varit i kontakt med – Carpetvista, Kontorsshop.se och Boozt – är det ingen som på allvar börjat titta på hur deras verksamhet påverkas. Och nu tickar klockan.
