Allt du någonsin velat veta om vad GDPR betyder för ditt Publit-användande, men varit för skraj att fråga om

En ny lag är i antågande som bör få alla att tänka två gånger innan man bestämmer sig för att hantera personuppgifter. När dataskyddsförordningen (GDPR) ersätter personuppgiftslagen (PUL) i slutet av maj gäller det att vara redo ifall Datainspektionen gör oannonserat besök, för mycket står på spel. Den som inte kan redovisa för precis vilka personuppgifter som hanteras, i vilket syfte, samt hur länge data sparas, kan åka på dryga böter.

Eftersom det är praktiskt taget omöjligt att bedriva någon form av verksamhet utan att hantera personuppgifter, är de flesta organisationer, myndigheter och företag i Europa febrilt sysselsatta med att anpassa sig till det nya regelverket. Advokatfirmor har guldrusch, kurser och föreläsningar blir snabbt fullbokade, och experterna är eniga om att det kommer krävas väldigt mycket arbete för att kunna vara trygg när det smäller 25 maj. Kanske är det inte ens möjligt.

För regelverket är mycket omfattande och till skillnad från exempelvis bokföringsregler, där lagen ställer olika krav på små och stora aktörer, drar GDPR alla över en kam. Frisören på hörnet, som sparar sina kunders mejladresser för att bekräfta bokningar, kommer inte lättare undan än Facebook.

Alla personer som finns registrerade har rätt att omgående få ut all data om sig själva, och har rätt att om de så önskar bli raderade ur registret. Och det där registret, det kan visa sig vara ganska omfattande. The Guardians reporter Judith Duportail fick 800 sidor på posten när hon begärde ut all data som dejting-appen Tinder sparat om henne.

Här på Publit har vi ägnat mycket tid åt att förstå hur den nya lagstiftningen påverkar både vår verksamhet och våra användare.

Efter att ha trålat många långa lagtexter, gått på kurs och själva arrangerat ett antal workshops har vi kommit fram till följande: I slutänden är det egentligen ganska enkelt. GDPR handlar i väldigt stor utsträckning om att inventera vem som är ansvarig för vilken data. När personuppgifter behandlas måste det alltid finnas en aktör som har huvudansvar. Den som har det måste sedan garantera att alla andra aktörer som får tillgång till sagda data, strikt följer villkor som måste finnas på pränt i form av något som kallas biträdesavtal.

Exempel: Publit ansvarar för säker och lagenlig hantering av alla uppgifter vi behöver för att kunna fullfölja våra åtaganden gentemot våra användare. Men en del av de uppgifterna måste vi i vår tur föra vidare till våra underleverantörer. Exempelvis måste den som trycker våra böcker ha tillgång till en leveransadress, och därmed räknas de som vårt biträde. Vårt tryckeri garanterar alltså oss att data vi skickar till dem används enligt våra instruktioner och inte till andra ändamål därutöver, samt att datan inte sparas längre än nödvändigt.

Okej, så långt en snabbkurs i GDPR, men vad betyder detta för dig? I och med uppdateringen av vårt användaravtal som rullas ut idag, kommer du själv kunna avgöra svaret på den frågan.

En viktig del av Publits vision har alltid varit att sätta förläggaren i kontakt med läsaren. Att sälja direkt till slutkonsument – vilket är enkelt och gratis att komma igång med via vår widgetshop – har många fördelar. Inte minst är det många av våra användare som på det viset byggt upp ett ovärderligt kontaktregister, en fan-base som de kan nå med nyhetsutskick, kunder som de kan "äga", för att prata marketing-lingo. I och med GDPR tillkommer en prislapp för allt det där göttiga. Den som nu vill begära ut personuppgifter om sina slutkonsumenter, kommer nämligen behöva axla rollen som Publits personuppgiftsbiträde, och med den rollen kommer visst ansvar.

Det funkar så här. När du säljer en bok via widgetshoppen är Publit din agent, vilket betyder att vi representerar dig mot konsumenten. Det är vi som sköter alla transaktioner, som ser till att momssatser blir rätt oavsett var en bok säljs (och widgetshoppen används verkligen för att sälja böcker i hela världen!) och det är vi som sköter support ifall Postnord skulle slarva bort ett paket (rent hypotetiskt). Det är också Publit som är huvudansvarig för hantering av konsumentens personuppgifter, vilket till exempel innebär att det är oss man vänder sig till ifall man vill att information om ett visst köp ska raderas (GDPR kallar detta för "rätten att bli glömd").

Du som förläggare är den egentliga avsändaren, den som ligger bakom shoppen, eller på juristspråk vår "huvudman". Därmed har du rätt att begära ut information om dina konsumenter, men om du inte aktivt gör en sådan begäran kommer vi se till att datan aldrig lämnar vårt valv. Du kan lugnt fortsätta sälja böcker, trygg i förvissningen om att din agent tar det fulla ansvaret för korrekt hantering av alla personuppgifter.

Om du däremot nyttjar din rätt att begära ut uppgifter om dina konsumenter, vilket vi förstås gärna vill uppmuntra dig till att göra, innebär det alltså att du blir vårt biträde. Då kommer vi (enligt lag vara tvungna att) ställa krav på att du har adekvata rutiner och säker IT-miljö för lagring av de personuppgifter vi lämnar ut till dig. Och skulle vi få en hemställan (ah, detta fina gamla svenska ord) om att radera alla uppgifter om en av dina bokköpare ur vårt system, så skulle vi göra det men också i vår tur kräva att ni raderar samma uppgifter ur ert system.

Vi vet inte om detta är helt vattentätt, och sanningen verkar vara att ingen vet. Men efter att ha rådslagit med otaliga jurister och med 80 dagar kvar tills den nya lagen träder i kraft är det vår bästa gissning om vägen framåt. Som alltid vill vi sätta er förläggare i första rummet, men att göra det ständigt enklare att publicera och sälja böcker kräver ibland att man tar två steg framåt och ett bakåt. GDPR är krångligt men vi ser det som vårt jobb att så lång som möjligt skydda er från den krångligheten.

Och som alltid: Detta är, precis som allting med Publit, arbete under gång. Skriv gärna till oss och berätta vad Du tänker!

Nyhetsbrev

Tack, vi hörs!

Tyvärr gick något fel.