Inledning
Det händer då och då att jag pratar med människor. Ibland (ganska ofta tyvärr) glider jag under dessa tillfällen in på ämnet GDPR. Ganska ofta får jag då höra saker som: ”vad spelar det för roll att Facebook har mina personuppgifter?” och ”vi är ju ändå övervakade så det är väl ändå kört”.
Därför tänkte jag i det här inlägget försöka förklara varför det ligger i ditt (och mitt) intresse att vi bryr oss om GDPR, och vad folk och företag gör med våra personuppgifter.
Facebook, Irland och att köpa tjänster
I skrivande stund ligger ett Irländskt förhandsavgörande hos den Europeiska Dataskyddsstyrelsen för kommentar. Max Schrems och hans organisation NOYB är ansvariga för klagomålet som lett till förhandsavgörandet.
I det 96 sidor långa avgörandet konstateras en sak som är väldigt intressant för hur vi ser på avtal och GDPR: Nämligen att Facebook får behandla personuppgifter för direktmarknadsföring eftersom det är så de finansierar sin tjänst.
Ergo: vi köper tillgång till Facebook med våra personuppgifter.
Att påstå att personuppgifter är en valuta är förvisso inget nytt. Fast att en dataskyddsmyndighet säger att det är så är lite av en skräll.
Om Irlands förhandsavgörande godkänns av resten av EU blir det därmed nödvändigt för oss alla att börja tänka på personuppgifter på samma sätt som vi tänker på pengar.
Pengar/personuppgifter och när de har ett värde
Frågan är väl bara då: hur tänker vi på pengar?
Där finns det lite olika svar, där de flesta svaren har en analog i dataskyddsvärlden.
Det vanligaste sättet att tänka på pengar är att vi behöver så mycket pengar som möjligt!
Det här tankesättet kanske inte är så vanligt förekommande gällande just personuppgifter, även om just Facebook arbetar på det sättet.
Men varför är vi intresserade av att ha pengar över huvud taget?
Mitt enkla svar: för att vi vill kunna betala för saker. Till exempel mjölk.
I högstadiefysiken fick vi lära oss om potentiell och kinetisk energi. Ett glas du håller i handen har en viss potentiell energi, som kan översättas i kinetisk energi genom att du släpper glaset. Den potentiella energin i det fallet är proportionell till den kinetiska energin som glaset har i samma stund som det träffar marken. Det är den kinetiska energin som krossar glaset när det träffar marken. Fast för att uppnå tillräckligt mycket kinetisk energi för att krossa glaset räcker det inte med att glaset faller från en mattkant ner på marken. Det behöver få falla längre och bygga upp mer kinetisk energi, och behöver då börja med en högre potentiell sådan. Låt glaset falla från bordskanten istället för mattkanten så kommer det nog att krossas. Den kinetiska energin har då en faktisk påverkan på glaset och verkligheten är nu för evigt förändrad.
Pengar på banken är potentiell energi, proportionella mot vad vi kan köpa för dem. Men det är i köpet som verkligheten påverkas.
Personuppgifter fungerar på samma sätt. Personuppgifter på hög påverkar inte verkligheten, men om våra personuppgifter aktiveras (någon släpper glaset så att säga) så kan vår verklighet förändras för evigt. I vissa fall rör det sig om mindre saker: ett reklambrev som dimper ner i brevinkastet (glaset håller). I andra fall är det allvarligare: någon stjäl en identitet (glaset går i tusen bitar).
Skillnaden mellan pengar och Data
Pengar skiljer sig på ett markant sätt från personuppgifter. Nämligen att pengar inte kan kopieras hursomhelst. Efter att jag köpt något så har jag inte kvar mina pengar, det är säljaren som har dem nu. Fast när jag köper ett konto på Facebook för mina personuppgifter får jag behålla både mitt namn, min mailadress och all annan information som jag delar med mig av till Facebook.
En krona kan ersättas med vilken annan krona som helst (typiskt sett), på juridiska kallas det att pengar har en fungibel karaktär.
Personuppgifter kan aldrig ersättas med någon annans personuppgifter, de är unika på det sättet. Men personuppgifter är också data, och försvinner därför inte i transaktionen. Vi kan kalla det här för transaktionell permanens.
Konsekvensen av personuppgifters transaktionella permanens är att företag som byggt en affärsmodell av att tjäna pengar på data kan fortsätta tjäna pengar på samma data tills marknaden är mättad. En persons personuppgifter kan säljas till hundra, tusen eller hundratusentals andra.
Så varför ska vi bry oss om GDPR egentligen?
Kommer ni ihåg scenen från Terminator? Den där Arnold går igenom telefonkatalogen för att ta reda på var Sara Connor bor? Om inte så finns den här. I filmen hittar T-800 personer genom att kolla upp dem i telefonkatalogen för att sen åka hem till dem helt lugnt och mörda dem, allt för att främja cyberapokalypsen.
Om Sara Connor inte hade sin adress listad i telefonkatalogen hade det varit mycket svårare för Arnold att främja världens undergång.
På grund av personuppgifters transaktionella permanens är handlande med personuppgifter ”billigt idag” i utbyte mot ”risk i framtiden”. I värsta fall en risk som innebär ond bråd död och världens undergång.
Pengatransaktioner är säkrare på det sättet.
Syftet med GDPR är för tydlighetens skull alltså att reglera vad personuppgifter får användas till, för att på så vis rädda Sara Connor och kanske resten av mänskligheten. Det är därför vi ska bry oss om GDPR.
Referenser
De som köper personuppgifter i första bilden är organisationer som annonserat genom Facebook och dykt upp i mitt flöde. Dessa är (utan ordning): Humble Bundle, Uppsala Kommun, Wolt och Arbetsmiljöverket.
De som säljer mjölk till Ica är: Arla, Skånemejerier, Oatly och Valio.
Den sista bilden är hämtad från https://imgflip.com/memegenerator och texten är skriven av mig.