Rätten att bli bortglömd blir lag

25 maj nästa år införs EU:s nya dataskyddsförordning, som bland annat ersätter personuppgiftslagen PuL. Få vet att företag kan komma att få böta miljonbelopp om människor som begär det inte tas bort ur deras register.

Den nya dataskyddförordningen, GDPR (EU) 2016:679, som träder i kraft den 25 maj 2018 innebär ett paradigmskifte i svensk rättstradition och kommer att ha svåröverskådliga konsekvenser för svenskt samhällsliv – i stort och i smått. Det är ett brett regelverk som träffar både offentlig och privat verksamhet samt enskilda individer.

De uppgifter som berörs av förordningen är samtliga sådana som kan knytas till en individ, oavsett om de är lagrade i strukturerad eller ostrukturerad form. Alla möjliga typer av uppgifter berörs, inte bara namn och personnummer, utan samtliga uppgifter som kan relateras till en specifik person, och det oavsett format.

Genom förordningen ges den registrerade nära nog oinskränkt makt att förfoga över sina uppgifter, det vill säga få dem utlämnade till sig, motsätta sig vidare bearbetning, begära ändring i dem och få dem raderade.

De får heller inte samlas in utan ett tydligt och övervägt samtycke från den enskilde. För samtycke kommer det, till exempel, inte räcka med ett enkelt kryss i en ruta i ett webbformulär, utan det måste vara tydligt, väl övervägt och fattat i eget sammanhang. Utöver dessa ställs mycket höga krav på en aktiv informationssäkerhet från registerhållarens sida.

Till reglerna kopplas ett kraftfullt sanktionssystem. Den som bryter mot reglerna kan drabbas av böter upp till motsvarande det högsta beloppet av 4 procent av årsomsättningen eller 20 miljoner euro, eller omkring 200 miljoner kronor. Det är här det blir allvar. Ingen kan kosta på sig att rycka på axlarna.

Även om regelverket innebär omfattande konsekvenser för hur vi sätter upp, hanterar och skapar rutiner kring aktuella system, liksom mycket långtgående krav på aktiv informationssäkerhet, finns det en aspekt som inte belysts särskilt mycket hittills, men som har fundamentala konsekvenser för en hel bransch: rätten att få sina uppgifter raderade, eller som det sägs i förordningen ”rätten att bli bortglömd” (Artikel 17).

Om den registrerade återkallar sitt samtycke, och registerhållaren saknar laglig eller avtalsgrundad skyldighet att behålla uppgifterna, måste de ovillkorligen raderas. Fullständigt och överallt där de finns lagrade. Om en person inte längre vill vara kund, bli kontaktad eller förekomma i något register, är den som ansvarar för uppgifterna skyldig att se till att samtliga uppgifter tas bort, det vill säga att personen glöms bort. Notera att detta resonemang förutsätter att samtycke erhållits på det sätt som föreskrivits i förordningen.

Förmodligen är det få register i det här sammanhanget i dag som uppfyller det kravet, varför dessa redan i utgångsläget kommer att vara oförenliga med förordningen och i och med detta kommer att kunna träffas av höga böter.

Den pågående kraftmätningen mellan Konsumentverket och NIX om att öka effektiviteten i NIX-registret är därmed redan överspelad. Förordningen kommer med automatik att råda bot på oönskad telemarketing och annan uppringning med kommersiella förtecken. Det räcker med att den som blir uppringd begär att få sina uppgifter raderade från den kontaktlista som det uppringande företaget använder sig av, så är företaget skyldigt att ta bort dessa och ”glömma bort” personen. Om inte, finns det risk för böter upp till 200 miljoner kronor – eller mer.

Det är här som frågan inställer sig: var är debatten? Är en hel bransch omedveten om att deras fundamentala existensvillkor är på väg att ryckas undan, och var finns konsumentupplysningen i samband med detta?