Så får du större intäkter med PUL

Annons

Ska företag bry sig om sina kunders och anställdas personliga integritet i sin verksamhet? Få personer och få företag skulle väl våga svara nej på den frågan. Kunder och anställda har i personuppgiftslagen ett straff- och skadeståndssanktionerat skydd vid behandling av deras personuppgifter. Dessutom riskerar det att betraktas som omoraliskt att säga att man inte bryr sig om den personliga integriteten.

Frågan är dock vad som sker när ord ska bli handling och när avkastningen på de aktiviteter som faktiskt måste genomföras för att skydda den personliga integriteten ska beräknas. I det läget är det fortfarande lätt att skyddsåtgärder hamnar på business casets kostnadssida.

De flesta företag missar därmed den viktiga roll som den personliga integriteten spelar på företags intäktssida.

Enligt vissa studier kommer värdet av personuppgifter inom EU att år 2020 uppgå till några procent av unionens totala BNP.

Personuppgifter används för att förstå kunders beteenden och köpvanor, för att förstå deras intressen, för att ta fram nya och alltmer individanpassade produkter och tjänster och så vidare. I många branscher kommer förmågan att samla in, analysera och agera på analyserade personuppgifter vara avgörande för den framtida konkurrenskraften.

Även personuppgifter avseende anställda får ett allt större värde. Förmågan att till exempel hitta rätt individ till rätt anställning får accentuerad betydelse med ökat konkurrenstryck och underlättas avsevärt genom kompetensdatabaser och liknande verktyg.

Att personuppgifter idag har ett betydande ekonomiskt värde står således utom allt tvivel. Mot detta värde har EU och därigenom Sverige ställt ett annat värde som många gånger från lagstiftarens håll anses vara viktigare än det ekonomiska värdet – den personliga integriteten.

Den personliga integriteten skyddas som en del i den mänskliga rättigheten till privatliv i Europakonventionen. Varje individ inom EU har ett antal grundläggande rättigheter gentemot företag och organisationer som behandlar hans eller hennes personuppgifter. Det rör sig om rättigheter som avser att upprätta en skyddad, privat sfär, inom vilken individen ska kunna befinna sig utan otillbörliga intrång från vare sig staten eller marknaden.

Så länge som företaget eller organisationen utför en så kallad strukturerad behandling av personuppgifter, till exempel i en databas, har individen bland annat rätt att bli informerad om att personuppgifter kommer att behandlas, för vilket ändamål behandlingen kommer att ske och om de insamlade personuppgifterna kommer att lämnas ut till någon annan. Som huvudregel måste individen dessutom samtycka till behandlingen; en regel som dock har många viktiga undantag.

Oavsett om samtycke behöver lämnas eller inte har individen rätt att kräva att individens personuppgifter bara behandlas enligt uttryckliga instruktioner samt inte minst att det företag som bestämmer över behandlingen – den personuppgiftsansvarige – alltid ser till att tillräckliga tekniska och organisatoriska åtgärder vidtas för att ge de behandlade personuppgifterna ett adekvat skydd.

Om företaget ger till exempel en leverantör i uppgift att behandla personuppgifterna måste företaget se till att individens rättigheter bevaras, vilket sker genom ett så kallat personuppgiftsbiträdesavtal.

Dessa och övriga regler i personuppgiftslagen kan företag välja att betrakta som en regulatorisk belastning eller som en källa till nytt värde. Den personliga integriteten var viktig för kunderna redan före Edward Snowdens avslöjanden om NSA:s övervakande aktiviteter, till exempel av Angela Merkels privata telefon.

Men dessa avslöjanden har förstås satt frågan i extra starkt fokus. Kundernas medvetenhet har ökat och därmed deras krav.

Enligt min uppfattning finns all anledning att anta att företag som transparent följer personuppgiftslagens regelverk och uttryckligen tar ett ansvar för att skydda sina kunders personliga integritet kommer att få en allt större konkurrensfördel framför andra företag. Kunderna kommer helt enkelt att lita på dessa företag i högre grad än andra företag, vilket kommer att leda till högre kundlojalitet och därmed högre intäkter.

Till detta kommer att de legala kraven på skydd för den personliga integriteten inte är något som kan tänkas bort, även om man skulle vilja det.
EU har världens högsta skyddsnivå för personuppgifter och man är fast besluten att höja denna ännu mer. EU-kommissionen har därför föreslagit antagandet av en EU-förordning som, när den träder i kraft om några år, kommer att gälla som lag direkt i alla EU:s medlemsstater.

I den föreslagna förordningen blir mycket sig likt men den innehåller ett antal förstärkningar av dataskyddet. Inte minst kommer sanktionerna vid integritetsöverträdelser att bli betydligt mer kännbara. Enligt ett förslag ska den maximala sanktionen uppgå till så mycket som 4 procent av det överträdande företagets globala omsättning.

Det återstår att se var denna siffra slutligen hamnar men det råder ingen tvekan om att kostnaderna för att bryta mot reglerna som skyddar den personliga integriteten kommer att öka avsevärt.

Vad kan företag då göra? Personuppgiftslagen är ofta dåligt anpassad till de faktiska förhållandena på marknaden. Det gör att den många gånger är svår att tillämpa. Likväl finns det ett antal enkla grepp som lägger grunden för en bra fortsättning.

För det första måste integritetsfrågorna göras till en styrelse- och ledningsfråga – det är endast genom initiativ från högre ledning som den nödvändiga förändringen kan ske.

För det andra bör varje företag utse ett så kallat personuppgiftsombud, det vill säga en anställd som har det huvudsakliga ansvaret för att se till att företagets personuppgiftsbehandlingar ligger i linje med vad personuppgiftslagen tillåter.

För det tredje bör företagets olika behandlingar av personuppgifter kartläggas, med början i en grov kategorisering i behandling av personuppgifter avseende kunder respektive anställda. Analysen syftar i ett första steg till att kartlägga vilka former av automatiserad behandling av personuppgifter som egentligen äger rum på företaget.

Det är då lämpligt att göra en åtskillnad mellan insamlingsfasen, behandlingsfasen och gallringsfasen. De registrerade individerna har nämligen vissa specifika rättigheter avseende till exempel information och samtycke som gäller i samband med att personuppgifter samlas in. Vidare har de vissa rättigheter under tiden som personuppgifterna behandlas, exempelvis avseende säkerhet men också avseende rätten att få ut information om vilka personuppgifter om individen som behandlas.

För det fjärde är företaget skyldigt att gallra bland personuppgifterna med jämna mellanrum eftersom personuppgifter inte får behandlas eller sparas längre än det behövs för det ändamål för vilket personuppgifterna samlades in.

När företaget har gjort en analys enligt ovan, inklusive ett antal andra åtgärder, kan företaget därefter implementera rutiner och processer som säkerställer en fortsatt korrekt behandling av personuppgifter. Ett viktigt grunddokument är då företagets personuppgiftspolicy, som ofta helt enkelt bör läggas ut på företagets hemsida. Genom detta och liknande steg kan företag på relativt kort tid se till att de når upp till personuppgiftslagens krav.

Den amerikanska detaljistkedjan Target har bland annat blivit känt för att man genom så kallad datamining av sina kunders köpbeteenden kunnat räkna ut vilka kvinnliga kunder som är gravida. Detta ledde till att pappan till en tonårsflicka upprört ringde till Target och förklarade att bolaget kränkte hela familjen genom att skicka reklam riktat till gravida till en flicka som, såvitt pappan kände till, inte hade gjort något som kunnat medföra graviditet.
När det strax därefter visade sig att det var Target och inte pappan som hade rätt bad pappan om ursäkt. Detta exempel må vara lite extremt men ger ändå en blixtbelysning av vilka avvägningar som företag idag behöver göra.

Å ena sidan finns en otrolig kraft och intäktspotential i att behandla personuppgifter.

Å andra sidan finns en risk att en personuppgiftsbehandling som kränker kundernas personliga integritet leder till negativa konsekvenser vars ekonomiska värde överstiger värdet av personuppgiftsbehandlingen.
Till detta kommer den stärkta konkurrenskraft med åtföljande intäktsökningar som företag som öppet agerar för att bevara sina kunders integritet kan uppnå.

Det finns därför all anledning för svenska företags ledningsgrupper att svara jakande på den inledande frågan om företag ska bry sig om sina kunders och anställdas personliga integritet i sin verksamhet.

Om skribenten: David Frydlinger är advokat och delägare på Advokatfirman Lindahl.