Att följa GDPR

Att följa GDPR

Ej sprida utanför EU/EES

Hela idén med att inte sprida information utanför EU/EES-området är för att det bara är inom EU/EES som GDPR har jurisdiktion. Att följa GDPR kan vara svårt och samtidigt mycket enkelt. Behöver du hjälp så tveka inte att kontakta Falk Systematik.

Det är bara inom EU/EES du har rätt att bli glömd, få felaktig information om dig rättad och få information om dig utlämnad från företag som har informationen om dig i sin besittning. Så fort informationen lämnar EU/EES så hamnar den under jurisdiktion som kanske aldrig tillåter att den raderas.

Jag hör rätt ofta att ”jag har inget att dölja” och att man därmed inte har något emot att företag lagrar personlig information. Jag brukar då svara med en motfråga – hur många kunde i 1880-talets Berlin tro att det 50 år senare skulle innebära döden att vara registrerad på grund av sin religiösa tro? Man vet vad man har men aldrig vad man kommer få, när det gäller statsskicket i sitt hemland. Vi kan inte ens i Sverige veta hur den politiska styrningen kommer se ut år 2070.

Microsoft och Google

Microsoft och Alphabet, ägaren av varumärket Google, är amerikanska företag som tvingas följa amerikansk lag. Lagarna de måste följa är bland annat Foreign Intelligence Surveillance Act1, FISA, sektion 702 och EO 123332. Snabbt sammanfattat kan man säga att dessa och eventuellt andra amerikanska lagar och förordningar tvingar amerikanska företag att lämna ut information de har på servrar oavsett var i världen servrarna finns.

Även fast Microsoft och Alphabet lagrar infomation inom EU/EES så krävs det alltså inga europeiska domar för att informationen ska föras utanför EU/EES. Ställ dig frågan om du vill följa GDPR.

Schrems II-domen

Om du inte har läst på om EG-domstolens ärende C-311/18 så finns det flera lättfattliga sammanfattningar att hitta på nätet. Bland annat har GDPR Summy3 skrivit en lättfattlig redovisning av målet.

Använder ditt företag mail-tjänster från Microsoft eller Google? Då måste du själv verifiera dataskyddslagarna i mottagarlandet, dokumentera din riskbedömning och kommunicera detta med dina kunder.

Inte helt enkelt att göra. Dessutom är riskbedömningen inte helt billig att göra eftersom du med stor sannolikhet måste anlita experter på amerikansk juridik.

Alternativet att ta hem mejl-tjänsterna till företag inom EU/EES är förmodligen avsevärt billigare. Detta är inte helt enkelt, eftersom Microsoft och Google erbjuder så bra tjänster, men det går.

Integritetspolicy

Att inte följa sitt företags integritetspolicy kan bli dyrt. Ett exempel är det tillsynsärende som Integritetsskyddsmyndigheten, IMY, genomfört mot Klarna Bank AB4.

Skulle ditt företag klara att få en sanktionsavgift på 7.5 miljoner från IMY?

Google Analytics

Flera europeiska integritetsskyddsmyndigheter, bland annat i Österrike5 och Frankrike6, har kommit fram till att Google Analytics inte är förenligt med GDPR.

Varför inte ta hem informationen så att den lagras inom EU/EES? Varför inte börja använda Matomo Analytics? Flera svenska myndigheter anställer nu Matomo-experter och detta kanske säger en del om vad myndigheternas jurister därmed har kommit fram till.

Säkert tappar du någon koppling till Googles verktyg, exempelvis Google Search Console. Samtidigt är det väl bättre att följa lagarna och att göra det innan man får ett brev från den svenska Integritetsskyddsmyndigheten, IMY?

Nuvarande Google Analytics är i drift fram till 30 juni 2023. Därefter måste du ändå göra något. Antingen installerar du nästa version, GA4, och inväntar en Schrems III-dom eller så byter du till Matomo.

Sammanfattning

Att följa GDPR kan vara svårt att förstå men egentligen är det rätt enkelt – lagra så litet som möjligt så kort tid som möjligt.

Ditt företag kan ur ett marknadsföringsperspektiv vilja spara exempelvis e-postadresser i all evighet. Skälet är ju i så fall att det är billigt att skicka ut marknadsföring via e-post och att det alltid är billigare att behålla kunder än att skaffa nya.

Samtidigt upplever många, kanske till och med alla, att reklammejl är något negativt. Jag killgissar när jag säger att om du skickar ut 10.000 marknadsföringsmejl så raderas de av 9.000 mottagare innan de lästs. 500 mottagare blir förbannade och 500 vill ha informationen och upplever den som någon positivt. Jag tror att många inser att det är bättre att skicka reklamen till de 500 som vill ha den istället för till 10.000 mottagare.

Sköt rutinerna kring GDPR och din integritetspolicy och du kommer få färre irriterade kunder!

Källhänvisning

  1. https://cdt.org/insights/section-702-what-it-is-how-it-works/
  2. https://www.nsa.gov/Signals-Intelligence/EO-12333/
  3. https://www.gdprsummary.com/sv/schrems-ii-en-sammanfattning-allt-du-behover-veta/
  4. https://systematik.nu/2022/03/29/imy-klarna-bank-ab-bristande-information/
  5. https://matomo.org/blog/2022/01/google-analytics-gdpr-violation/
  6. https://matomo.org/blog/2022/02/france-google-analytics-gdpr-breach/
Rulla till toppen