GDPR hefur nú verið í gildi í rétt rúman mánuð og segja má að reglugerðin hafi svo sannarlega fengið blendnar viðtökur um heim allan. Þó svo að um evrópska reglugerð sé að ræða hafa önnur lönd verið dugleg að bregðast við, jafnvel á svo harkalegan hátt að loka aðgengi að vefsíðum sínum á Evrópubúa og hætta að veita þeim þjónustu. Vera má að viðbrögðin hafi verið skynsöm en jafnvel er hægt að líta á þetta sem ákveðin mótmæli.

Í síðustu viku sótti ég ráðstefnu í London og var yfirskriftin: GDPR að mánuði liðnum, hvað hefur gerst? Því langar mig til þess að segja ykkur frá minni upplifun í stuttu máli. Hafi einhver áhuga á enn frekari upplýsingum eða spjalli þá eru bæði ég og mínir ráðstefnupunktar auðkeyptir með einum góðum kaffibolla eða svo.

Ráðstefnan er ein fjölmargra áhugaverðra viðburða sem haldnir eru af GDPR Summit Series og styrkt meðal annars af Henley Business School. Ráðstefnan stóðst allar mínar væntingar og gott betur en það. Dagskráin var þrískipt og þétt þar sem fjallað var um GDPR út frá framtíðinni, markaðsmálum og mannauðsmálum. Ýmsir góðir fyrirlesarar tóku til máls og má þar meðal annars nefna Ardi Kolah, Amanda Griffiths og Shaun Beresford. Einnig komu fram aðrir áhugaverðir sérfræðingar sem vert er að fylgjast með á næstu misserum, sérstaklega þegar enn frekar fer að reyna á GDPR.

Ætla má að Bretar séu líklega um ári á undan okkur þegar kemur að innleiðingu nýrra persónuverndarlaga á markað almennt. Hafa þeir því umfangsmeiri reynslu af þeim álitamálum og flækjum sem upp hafa sprottið sem við getum átt von á að sjá hér á landi þegar fram líða stundir. Ráðstefnan var því sótt með það að markmiði að læra af þeirra dýrmætu reynslu, meðtaka álitaefni og öðlast dýpri skilning á lögunum og umhverfi þeirra.

Umræðan úr sal leiddi okkur ráðstefnugesti meðal annars inn á þá staðreynd að Evrópulönd eru almennt komin mis langt í innleiðingarferlinu. Slíkt getur reynst snúið, þá sérstaklega í ljósi vinnsluaðilahlutverksins. Fyrirtæki (sem hér gegnir hlutverki ábyrgðaraðila) getur ekki talist vera að fullu fylgjandi GDPR nema að gengið sé úr skugga um að allir þeirra vinnsluaðilar séu það sömuleiðis. Því má segja að innleiðingin snúist ekki einungis um þetta eina ákveðna fyrirtæki, heldur um vinnsluaðila þessa umrædda fyrirtækis einnig. Ef fyrirtæki er sólin og vinnsluaðilar reikistjörnur þá gildir GDPR um allt sólkerfið.

Að innleiða GDPR inn í starfsemi fyrirtækis er ekki verkefni sem hefur bæði byrjun og enda. Innleiðingin er ekki próf þar sem lokaeinkunn er gefin heldur er staldrað við. Innleiðingin og eftirfylgni hennar er lifandi verkefni sem er ætlað að verða partur af menningu fyrirtækis og móta starfsemi þess enn frekar með persónuvernd í huga.

Helsti lærdómurinn og sá mikilvægasti, sem nánast allir fyrirlesarar komu inn á með einum eða öðrum hætti, var og er sá að nú hafa fyrirtæki og stofnanir gullið tækifæri til þess að nálgast viðskiptavini og notendur sína á annan máta. Lögin fela þannig í sér ákveðin tækifæri fyrir þessa aðila til þess að fara áður ótroðnar slóðir og endurhugsa þá leið alveg frá grunni.

Sú gagnrýni að GDPR komi upp sem illgresi í fallegum skrúðgörðum fyrirtækja hefur fengið stórt pláss í umræðunni. Margir óttast að GDPR þurrki upp auðlindir fyrirtækja og að sú staða komi jafnvel upp að einhverjir séu hreinlega neyddir til þess að stinga í lás og yfirgefa partýið fyrir miðnætti. Fyrirlesarar tóku margir hverjir á umræddri gagnrýni og hristu hausinn bókstaflega yfir henni. Vilja þeir meina að þvert á móti séu tækifæri að skapast sem nýta má til hins góða. Í þessu samhengi má benda á að ekki er hægt að glata einhverju sem aldrei var til í upphafi. Illgresið er einungis sú slæma viðleitni sem GDPR hefur hlotið, en ekki innhaldið sem slíkt. Nú er tímabært að breyta því hugarfari.

Ég efast um að ég nái að koma því í orð hversu mikilvægt traust og gagnsæi til viðskiptavina er, en hér kemur þó heiðarleg tilraun til slíks. Þegar fyrirtæki mynda sambönd við viðskiptavini með traust og gagnsæi að leiðarljósi skapast betra samband fyrir vikið, að mati helstu fyrirlesurum ráðstefnunnar. Með því aukast líkurnar á að viðskiptavinur vilji láta sínar persónuupplýsingar af hendi og þá fyrst geta fyrirtæki notað upplýsingarnar til að bjóða betri þjónustu sem sérsniðin er að þörfum eiganda upplýsinganna. Fyrirtæki geta með því skapað tækifæri til þess að kynnast sínum viðskiptavinum enn betur og á sama tíma nýtt þá þekkingu sem hlýst af sambandinu til að bæta sína starfsemi enn frekar.

Þegar réttar persónuupplýsingar eru gefnar fyrirtækjum geta þau skipt á sléttu, persónuupplýsingar á móti betri þjónustu sem felst í sérhæfðari þjónustu til viðskiptavinarins. Viðskiptasamband þar sem báðir aðilar græða og báðir aðilar ganga sáttir frá borði, og ganga síðan líklegast aftur að því. Líkurnar eru að minnsta kosti meiri hvað það varðar sé leikurinn gerður báðum til góðs.

Gamla góða klausan um að gæði trompi magn virðist eiga vel við þegar persónuupplýsingar eiga í hlut. Aukin verðmæti eru að finna í réttu persónuupplýsingunum fremur en í þeim hafsjó upplýsinga sem sumir hafa verið að sanka að sér, en þar leynast inni á milli ónákvæmar og óviðeigandi upplýsingar sem einungis eru til þess fallnar að skekkja þá mynd sem reynt er að mála af einstaklingunum. Enginn græðir þar, svo mikið er ljóst.

Póstlistaskráningar og póstar þeim tengdum voru ofarlega í huga ráðstefnugesta. Svo virðist vera að ákveðin pósta-tíska hafi myndast að senda pósta þar sem aðilar eru beðnir um að endurskrá sig á póstlista. Bæði fyrirlesarar og aðrir sérfræðingar sem ráðstefnuna sóttu mátu það sem svo að í lang flestum tilfellum var ekki betur séð en að slíkir póstar hafi upp til hópa verið með öllu ónauðsyn.  Æ betur er að koma í ljós að í sumum tilfellum er hægt að byggja á lögmætum hagsmunum sem heimild fyrir slíkri vinnslu en ekki einungis á samþykki.

Annars eru póstlistasendingar önnur fræði útaf fyrir sig og efni í aðra bloggfærslu. Sért þú, lesandi góður, í vafa um hvernig best sé að halda póstsendingarboltanum á lofti þá tökum við hjá Dattaca Labs vel á móti þér og getum leitt þig í gegnum ferlið.

Það sem mér þykir gríðarlega áhugaverð og jafnframt frábær nálgun er sú að fyrirtækjum er bent á að bíða ekki eftir beiðni einstaklinga þar sem farið er fram á afhendingu gagna. Bent er á þá skynsömu, traustu og opnu leið að hafa upplýsingarnar aðgengilegar öllum stundum svo að einstaklingurinn geti nálgast þær. Hvar sem er og hvenær sem er. Slíkt er einungis til þess fallið að auðvelda afhendingu gagna og þar með að auðvelda ferlið. Leiðin sparar tíma starfsfólks ásamt því að samtímis eru stoðir enn frekar styrktar þegar kemur að viðskiptasambandinu. Hagræðing af þessum toga er sömuleiðis til þess fallin að skila sér í þyngri buddu fyrirtækja.

Alveg ótengt persónuupplýsingum og persónuvernd þá megum við Íslendingar svo sannarlega fara að taka Breta okkur til fyrirmyndar hvað fagmennsku varðar. Haldið var þéttum höndum utan um dagskrá ráðstefnunnar. Fyrirlesarar virtu tímamörk og gættu þess sömuleiðis að hafa nægan tíma til þess að svara spurningum úr sal áður en næsta erindi tók við.

Sérfræðiþekkingin fékk að njóta sín og lítið, nánast ekkert, var um yfirborðskenndar nálganir og þurr og tilgangslaus erindi. Þegar sambærileg erindi hafa verið haldin hér á landi er almennt farið mjög grunnt í innihald nýrra persónuverndarlaga. Lítið er um ný sjónarmið og nálganir á lögin og jafnvel hafa fyrirlesarar hreinlega gerst svo djarfir að lesa beint upp af blaði eina lagarulluna á fætur annarri án þess að staldra við og leyfa innihaldinu að njóta sín, að fá áheyrendur til þess að meðtaka.

Vera má að við á Íslandi séum rétt að byrja, eða að stíga hér okkar fyrstu skref varðandi innleiðingu laganna á markað. Þó er gott að temja sér faglega siði og sinna verkefnum af kostgæfni. Nú er tækifærið til þess að hugsa út fyrir Cheerios kassann og nálgast viðskiptavini og notendur á annan hátt, sjáum lögin fyrir það sem þau raunverulega eru. Höfum gaman og hugsum frjótt.

Að ráðstefnu lokinni gekk undirrituð út full af bjartsýni og enn sannfærðari um ágæti laganna og þann heim sem við munum í sameiningu skapa. Mikill lærdómur hlaust og þá sérstaklega þegar litið er til þess að Bretar eru nokkrum skrefum á undan og því er úr nægu að taka og úr nægu að moða úr.

Þar til næst,

Eyrún Viktorsdóttir