Examensarbete
15 högskolepoäng, grundnivå
GDPR – en ”kioskvältare”?
En studie kring medie-och IKT-företags kunskap och
anpassning mot dataskyddsförordningen
GDPR – a ”blockbuster”?
A study of media and ICT-‐companies knowledge and adaptation to the
General Data Protection Regulation
Kajsa Kidman & Lisen Axelsson
Examen: Kandidatexamen 180 hp Examinator: Sven Packmohr Huvudområde: Medieteknik Handledare: Sara Leckner Datum för slutseminarium: 2017-05-22
Sammanfattning
Denna uppsats är en fallstudie. Studien behandlar den kommande dataskyddsförordningen (GDPR) och dess påverkan på medie- och IKT-företag. Syftet med studien är att studera den befintliga kunskapen kring dataskyddsförordningen inom medie- och IKT-företag samt hur ett förändringsarbete mot förordningen kan drivas. Studien redovisar för dataskyddsförordningen och dess bakgrund följt av en beskrivning kring medieindustrin, IKT-företag och dess komplexa struktur. Vidare beskrivs organisationsförändringar och metoder för dessa vilka kan underlätta ett förändringsarbete. Med hjälp av en enkätundersökning har författarna undersökt om dataskyddsförordningen har uppmärksammats inom 50 medie- och IKT-företag samt om ett förändringsarbete har planerats eller påbörjats. Vidare har studien kompletterats med kvalitativa intervjuer där dataskyddsförordningen i förhållande till tre medieföretag samt ett IKT-företag har analyserats mer ingående. Resultatet av undersökningarna visar hur en stor andel
medieföretag i nuläget inte har påbörjat anpassningen mot dataskyddsförordningen. De
studerade organisationerna vittnar även om en okunskap i förhållande till det behandlade ämnet och ett anpassningsarbete har i majoriteten av de studerade fallen ej påbörjats. Studien lyfter därför förändringsmodeller vilka kan ge struktur åt ett kommande anpassningsarbete.
Nyckelord
Dataskyddsförordningen, Organisationsförändringar, Personuppgifter, Medieföretag, IKT-företag, Anpassningsarbete, Mediebranschen
Abstract
This essay is a case study. The study addresses the forthcoming General Data Protection
Regulation (GDPR) and its impact on media-and ICT-companies. The purpose of the study is to examine the existing knowledge of the data protection regulation within media and
ICT-companies. The study also aims to create an understanding of how an adaption can be carried out against the regulation. The study accounts for the GDPR and its background, followed by a description of the media industry, ICT-companies and its complex structure. Furthermore, organizational changes and methods are described in order to facilitate and provide an overall structure for the change work. By means of a survey, the authors examined whether the GDPR has been noted in 50 media and ICT-companies and if a change work has been planned or begun. Furthermore, the study has been supplemented with qualitative interviews where the GDPR in relation to three media companies and one ICT-company has been analyzed in more detail. The results of the survey show how a large proportion of media companies have not yet begun the adaptation or change work to meet the requirements in the GDPR. The studied organizations also testify to an ignorance in relation to the subject and an adaptation work has not begun in the majority of the studied companies. The study therefore raises change models that can provide an overall structure for future change work to GDPR.
Keywords
GDPR, Organizational change, Personal information, Personal data, Media industry, Media companies, ICT-companies, Change work.
Innehållsförteckning
1
INLEDNING ... 1
1.1
BAKGRUND OCH PROBLEMATISERING ... 1
1.2
SYFTE ... 3
1.3
FRÅGESTÄLLNING ... 3
1.4
AVGRÄNSNINGAR ... 3
1.6
MÅLGRUPP ... 4
1.7
DISPOSITION ... 4
2.
METOD ... 5
2.1
METODVAL ... 5
2.2
ENKÄTUNDERSÖKNING ... 5
2.3
URVAL:ENKÄT ... 6
2.3.1
Beskrivning av medieföretag ... 6
2.3.2
Beskrivning av IKT-företag ... 7
2.3.3
Analys av enkätundersökning ... 7
2.4
KVALITATIV METOD – MULTIPEL FALLSTUDIE ... 8
2.4.1
Urval: Intervjuer ... 9
2.4.2
Intervjuer ... 10
2.4.3
Analys av intervjumaterial ... 11
2.5
ETISKA ÖVERVÄGANDEN ... 11
2.6
METODDISKUSSION ... 12
2.6.1
Reliabilitet och validitet ... 13
3.
TEORETISKT RAMVERK ... 15
3.1
MEDIEINDUSTRIN IDAG ... 15
3.2
DATASKYDDSFÖRORDNINGEN ... 16
3.2.1
Skäl till dataskyddsförordningen ... 17
3.2.2
Datainspektionen ... 17
3.2.3
Ansvar under dataskyddsförordningen ... 18
3.2.3.1
Säkerhetsåtgärder ... 19
3.2.4
Samtycke ... 20
3.2.5
Molntjänster ... 21
3.2.6
Den registrerades rättigheter ... 21
3.2.6.1
Tillgång till personuppgifter ... 21
3.2.6.2
Dataportabilitet ... 22
3.2.6.3
Rätten till radering ... 22
3.2.6.4
Rätten till invädning ... 23
3.2.7
Personuppgiftsincidenter ... 23
3.2.7.1
Sanktionsavgifter ... 24
3.2.8
Konsekvensbedömning ... 24
3.2.9
Privacy by Design ... 25
3.2.10
ISO 27001 ... 26
3.3
ORGANISATIONSFÖRÄNDRINGAR ... 26
3.3.1
Extern drivkraft bakom förändring ... 27
3.3.2
Strategi ... 27
3.3.3
Ledarskap och förändring ... 28
3.3.4
Medieindustrin ... 30
3.3.5
Förändringsarbete med koppling till förordningen ... 31
4.
RESULTAT ... 32
4.1
ENKÄT ... 32
4.1.2
Övriga kommentarer ... 33
4.2.
KVALITATIV UNDERSÖKNING ... 33
4.2.1
Studiens undersökningsobjekt ... 33
4.3
KVALITATIV INTERVJU MED RESPONDENT 1,2&3 ... 35
4.3.1
Relation till dataskyddsförordningen ... 35
4.3.2
Anpassning till förordningen ... 36
4.3.3
Förordningens och Datainspektionens riktlinjer ... 38
4.3.4
Hantering av personuppgifter ... 39
4.3.5
Privacy by Design ... 39
4.4
INTERVJU MED RESPONDENT 4,5,6,7&8 ... 39
4.4.1
Kunskap och kännedom kring förordningen ... 39
4.4.2
Inställning till förordningen ... 41
4.4.3
Påverkan och anpassning till förordningen ... 41
4.4.5
Hantering av personuppgifter ... 43
4.4.6
Resurser ... 45
4.4.7
Integritet och registrerades rättigheter ... 45
4.4.8
Dokumentering av rutiner ... 46
4.4.9
Privacy by design ... 47
4.4.10
Dataskyddsförordningens riktlinjer ... 47
5.
DISKUSSION ... 48
5.1
ENKÄT – KUNSKAP KRING FÖRORDNINGEN ... 48
5.2
KVALITATIV UNDERSÖKNING ... 49
5.2.1
Kunskap kring förordningen ... 49
5.2.2
Organisationsförändringar ... 51
5.2.2.1
Strategi ... 52
5.2.3
Förändringsmodell och anpassningsarbete ... 52
5.2.4
Dataskyddsförordningen ... 55
5.2.4.1
Skäl och inställning till dataskyddsförordningen ... 55
5.2.5
Hantering av personuppgifter ... 56
5.2.6
Samtycke ... 57
5.2.7
Säkerhetsåtgärder ... 59
5.2.8
Konsekvensbedömning ... 60
5.2.9
Den registrerades rättigheter ... 60
5.2.10
Personuppgiftsincidenter och sanktionsavgifter ... 61
5.2.11
Privacy by Design ... 62
5.3
AVSLUTANDE DISKUSSION ... 63
6.
SLUTSATS ... 65
6.1
FÖRSLAG TILL VIDARE FORSKNING ... 66
REFERENSER ...
BILAGOR ...
Malmö högskola. Handledare för uppsatsen har varit Sara Leckner, universitetslektor vid institutionen för Medieteknik. Studien är genomförd av två studenter vid programmet Produktionsledare: Media.
Studien består av en enkätundersökning och intervjuer. Enkätundersökningen förbereddes och utfördes av oss båda studenter. Den kvalitativa undersökningen bestod av sex muntliga
intervjuer där vi båda har närvarat. Intervjuerna förbereddes gemensamt men styrdes av den ena eller andra studenten. Vi båda har därmed ansvarat för tre intervjuer var vilka sedan har
transkriberats. Vid bearbetning av empiriskt material har vi valt att dela upp arbetet för att effektivisera ett annars mycket tidskrävande moment. Därmed har transkriberingarna skett enskilt för att sedan analyseras tillsammans. Fortsättningsvis har samtliga kapitel i denna studie författats gemensamt. Teori har hämtats och sammanställts tillsammans, dock har teorisökning genomförts på separata enheter samt med olika sökord för att optimera arbetet. Därefter har vi författat specifika rubriker enskilt vilka sedan gemensamt har redigerats för att språk, innehåll och formuleringar skall överensstämma. Studiens diskussionskapitel och slutsatser har även de genomförts tillsammans för att säkerställa samsyn. Anledningen till att studiens olika kapitel har genomförts till största del gemensamt grundar sig i att säkerställa att vi båda arbetar i samma riktning och att vi delar samma syn på studien i dess helhet. Vi de tillfällen vi utfört något arbete enskilt har det material som producerats gemensamt disskuterats och i vissa fall vidareutvecklats tillsammans. Detta för att säkerställa studiens kvalitet. Fördelarna med att ha genomfört denna studie tillsammans är flera. Bland dessa fördelar är möjligheten att löpande kunna diskutera och reflektera tillsammanns något vi verkligen har uppskattat och som vi anser haft en enorm betydelse för denna studies genomförande. Vi har löpande försökt att lyfta det undersökta problemområdets olika perspektiv och genom kommunikation med varanda nå en samsyn vilket är avgörande för en studie med flera författare. Vi anser att vi lyckats väl med att genomföra denna studie tillsammans och hoppas att resultatet skall bidra till god läsning. Slutligen vill vi rikta ett stort tack till Sara Leckner för vägledning och uppmuntran. Vi vill också rikta ett stort tack till respondenterna och de studerade företagen, ni vet vilka ni är, och lycka till i förändringsarbetet!
1
Inledning
I april 2016 beslutade Europeiska Unionen om en ny förordning vilket påverkar hur
personuppgifter skall hanteras och tillämpas av och i medlemsstaterna. Den nya förordningen, som går under titeln GDPR (General Data Protection Regulation) eller dataskyddsförordningen på svenska, träder i kraft i maj 2018 och ersätter den befintliga personuppgiftslagen (PuL). Förordningen innebär en rad förändringar för de organisationer som hanterar personuppgifter, och dess syfte är dels att skapa en enhetlig standard för skyddet av personuppgifter inom Europeiska Unionen. Förordningens syfte är också att värna om enskildas grundläggande rättigheter och friheter, och då framförallt deras rätt till skydd av personuppgifter.
Dataskyddsförordningen drivs i Sverige på uppdrag av Datainspektionen. Datainspektionen är en myndighet som arbetar för att behandlingen av personuppgifter inte leder till att obehöriga får tillgång eller gör intrång i enskildas individers personliga integritet. (Datainspektionen, 2016.)
1.1
Bakgrund och Problematisering
Dataskyddsförordningen har utvecklats under tre år och dess syfte är att skapa ett enhetligt dataskydd inom EU samt fylla upp det gap som uppkommit i den befintliga PuL i och med ökningen av sociala medier och big data (Ryz & Grest, 2016). Med big data (stora datamängder) menas digital lagrad information av sådan storlek som gör det svårt att lagra den via
traditionella databasmetoder (Computer Sweden, 2011). Barocas och Nissenbaum (2014) beskriver vidare hur big data-paradigmet utgör ett hot mot privatliv och integritet på webben. Detta då insamling av data och personlig information kan uppfattas som ett inkräktande på individers pritvatliv. Likt ett svar på detta vidgar förordningen perspektivet på dataskydd eftersom förordningen påverkar organisationer som behandlar personlig information. Vidare bidrar dataskyddsförordningen till enskildas rätt till personlig data samt hur denna behandlas av olika företag (Tankard, 2016). Definitionen angående vad som räknas som personliga uppgifter har i samband med den nya förordningen utvidgats, och omfattar allt som kan identifiera en person; IP-nummer, adress, telefonnummer, kreditkortsuppgifter samt alla uppgifter som kan kopplas till den fysiska, ekonomiska, kulturella eller sociala identiteten hos en person (Ryz & Grest, 2016).
Feijóo, Gómez-Barroso och Voigt (2014) hävdar att insamling av personlig data hos företag vars verksamhet är digitaliserad och i hög grad onlinebaserad är större nu än någonsin. Dessa verksamheter ser ett stort värde i personliga data då den kan bidra med information kring vilka
vi är, var vi är och vad vi gör. Wu, Huang, Yen och Popova (2012) hävdar att denna insamling främjar företags verksamhetsutveckling. O’Neal (2016) beskriver vidare att mediebranschen är en av de branscher där insamling av personlig data utgör bränslet. Fortsättningsvis beskriver Stone (2014) och Bilbao-Osorio, Dutta och Lanvin (2013) att personlig data representerar en av medieindustrins och IKT-branschens största affärsmöjligheter och förväntas att bli en av
branschens viktigaste byggstenar. Med IKT-företag (informations och kommunikationsteknik) menas IT-företag som utvecklar och arbetar med kommunikativa tjänster och produkter t.ex. apputveckling och IoT-tjänster. Genom att nyttja personlig information och big data kan medieföretag lättare finna, engagera och förstå deras målgrupp samt dess behov. Vilket enligt Chou, Teng och Lo (2009) leder till högre intäkter och kundlojalitet. Detta kan t.ex. ske genom att användare ges ett personaliserat innehåll vid användning av digitala tjänster (Evens & Van Damme, 2016). Appelgren och Leckner (2016), beskriver hur Svenska dagbladet år 2015 införde en personaliserad förstasida baserad på algoritmer. En personaliserad förstasida som baseras på algoritmer kan välja ut nyheter för besökaren utifrån individens positionering och tidigare beteendedata. Fortsättningsvis beskriver Appelgren och Leckner (2016) att denna typ av data är viktig för mediebolag som Svenska dagbladet, då det används som mått för att styrka annonsförsäljning och utveckla digitala tjänster.
Denna strategiska kontroll och kundrelation är enligt Ballon (2007) nyckeln till en framgångsrik affärsmodell för IKT-företag. I tillägg till detta beskriver Feijóo, Gómez-Barroso och Voigt (2014) hur enkelt personlig data delas mellan företag, marknader och industrier. Napoli (2014) menar att medieindustrins miljö växer och blir allt mer komplex, samt att medieföretag förlitar sig på insamlingen av personlig data och algoritmer för att kunna navigera sig i denna komplexa miljö. Påståendet stärks av Scheib och Lugmayr (2014) som beskriver att medieindustrin under de senaste decennierna befunnit sig i en extremt turbulent miljö med förändringar påverkade av såväl teknologisk utveckling som av kulturella skäl. En kommande förändring som berör medie och IKT- företagen är dataskyddsförordningen där organisationer av olika slag vittnar om en ökad oro kring förordningens påverkan på verksamheten (Tankard, 2016). Datortillverkaren Dell visar genom en global undersökning från 2016 att mer än 80 procent av de tillfrågade respondenterna endast känner till fåtal detaljer eller ingenting alls om förordningen. Vidare visar en mycket liten andel organisationer på en förberedelse inför dataskyddsförordningen och 97 procent av företagen har ingen plan eller strategi för anpassning till dataskyddsförordningen. Enbart 9 procent av de tillfrågade är säkra på att det inför inträdande av förordningen kommer vara helt förberedda. (Dell, 2016)
Dataskyddsförordningen kommer att kräva ett förändringsarbete hos organisationer samt företag vilka behandlar personuppgifter. Detta kan kopplas till Datainspektionen (2016) samt IT
Privacy Governance Team (2016) som beskriver hur inträdandet bland annat kommer att påverka organisationers budget, it-system, personal, styrning och kommunikation. Hur specifikt medie- och IKT-företag kommer att påverkas utgör därav det grundläggande intresset för denna studie. Ämnets aktualitet, det vill säga att förordningen tillämpas i maj 2018, och att detta i nuläget innebär omstrukturering för medie samt IKT-företag är ännu en faktor som gör ämnet intressant. Küng (2008) beskriver hur ämnesområdet mediebranschen är överraskande svår att konkretisera och definiera. Med mediebranschen syftar författarna till företag som producerar tryckt eller digital media, företag som på uppdrag arbetar med marknadsföring eller
kommunikation, samt företag vilka utför medieplanering och strategier. Är medie- och IKT-företag medvetna om hur förordningen eventuellt kan tänkas påverka deras verksamhet? Då inga tidigare studier har genomförts på just medie- och IKT-företags anpassning mot
dataskyddsförordningen ämnar denna studie att fylla det gap som idag finns i dagens forskning.
1.2
Syfte
Syftet med denna studie är att studera medie- samt IKT-företags kunskap och insikt kring dataskyddsförordningen. Vidare syfte är att studera hur företagen kan skapa en strategi och planering inför anpassning mot dataskyddsförordningen. Studien skall genomföras för att bidra med vetande kring hur verksamheterna påverkas av införandet av dataskyddsförordningen, samt vilket förändringsarbete förordningen kräver av dem.
1.3
Frågeställning
- Vilken befintlig kännedom kring dataskyddsförordningen finns hos de studerade medie- och IKT-företagen samt vilken påverkan har förordningen på dessa verksamheter?
- Vilket förändringsarbete kräver dataskyddsförordningen av de studerade medie- och IKT-företagen och hur kan planering av förändringsarbete mot dataskyddsförordningen verka?
1.4
Avgränsningar
Studien undersöker endast svenska företag inom medie- samt IKT-branschen. Mediebranschen avser i detta fall företag vilka arbetar med såväl tryckta som digitala medier. IKT-branschen
innefattar i detta fall företag vilka bland annat utvecklar IoT-tjänster (Internet of things). Detta innebär att studien inte behandlar hur företag inom övriga sektorer påverkas av
dataskyddsförordningen. Studien undersöker inte dataskyddsförordningen utifrån användarens perspektiv.
1.6
Målgrupp
Denna studie vänder sig primärt till företag inom medieindustrin och IKT-branschen som i nuläget skall genomföra en förändring mot dataskyddsförordningen. Studiens sekundära målgrupp består av forskare och studenter inom akademin. Den valda målgruppen förväntas i förhållande till denna studie vara bekant med termer som är vanligt förekommande inom främst medieindustrin.
1.7
Disposition
Följande avsnitt av uppsatsen utgörs av ett metodkapitel. Där redovisas för hur information och data har hämtats, analyserats och sammanställts. Under samma kapitel nämns de etiska
överväganden som studien inneburit. Tillvägagångssättet avslutas i en diskussion där gjorda val motiveras. Därefter följer studiens teoretiska avsnitt där relevant information som kan kopplas till dataskyddsförordningen, dess innehåll och organisationsförändringar behandlas. Det teoretiska avsnittet följs av ett resultatkapitel vilket grundas på sju intervjuer och 50 st.
enkätsvar. Teori och resultat mynnar ut i ett diskussionskapitel där teori och resultat behandlas och diskuteras. Avslutningsvis presenteras slutsatser som bygger på tidigare diskussion, samt förslag till vidare forskning.
2.
Metod
I följande metodkapitel beskrivs studies tillvägagång. Författarna beskriver här vilka val som gjorts samt motiverar dessa med hjälp av relevant metodteori. Vidare beskrivs urval av respondenter samt deras organisatoriska sammanhang och koppling till ämnesvalet. Kapitlet avslutas med en diskussion kring tillvägagångssätt och alternativa val.
2.1
Metodval
Denna studie är en multipel fallstudie som inleddes med en enkät följt av kvalitativa
semistrukturerade intervjuer med medie- och företag. Valet att studera medie- och IKT-företag grundas på att dessa verksamheter behandlar stora mängder data och i vissa fall livnär sig på användares persondata. Företagens behandling av data och personlig information innebär att de blir påverkade av den kommande dataskyddsförordningen. Då dataskyddsförordningen i nuläget är högaktuell och författarna till denna studie utbildar sig inom det undersökta fältet fann vi det därför intressant att undersöka hur dataskyddsförordningen kommer att påverka just medie- och IKT-företag. Ahrne och Svensson (2015) beskriver hur olika metoder kan vara lämpliga för den studie som skall genomföras. Lämplig metod att genomföra studien med är avhängig dess forskningsfråga och det fenomen vilket frågan behandlar. Vidare beskriver Bell och Waters (2014) att inget vetenskapligt angreppssätt endast vilar på ett enda val av metodik. En kvalitativ undersökning, vilket t.ex. fallstudien kan liknas vid, kompletterades därför med en enkätundersökning.
2.2
Enkätundersökning
Studien inleddes med en digital enkät över e-post. Enkäten genomfördes för att skapa en förförståelse och översikt över huruvida medie- och IKT-företag har uppmärksammat
dataskyddsförordningen internt, samt om ett anpassningsarbete påbörjats. Detta gjordes genom att ställa tre korta frågor. Anledningen till valet att endast ställa tre frågor stod i relation till att författarna enbart ämnade att skapa en förförståelse. Enkätundersökningen syftade även till att identifiera företag vilka uppmärksammat dataskyddsförordningen och erbjuda dem deltagande i studiens kommande kvalitativa undersökning. Att forma en enkät betående av flera frågor kändes därav inte nödvändigt. Enkätundersökning är endatainsamlingsmetod där
respondenterna själva besvarar en uppsättning frågor (Ejlertsson, 2014). Hagevioch Viscovi (2016) menar att fördelen med att skapa en enkät bland annat är att det finnsmöjlighet att nå ett större antal respondenter på kort tid. Fortsättningsvis menar Hagevi ochViscovi (2016) att
ytterligare en fördel är att respondenterna själva kan välja när, hur och var devill besvara enkäten. En fara med denna enkätundersökning är att den ställer frågor som kan uppfattas som känsliga. Detta ur perspektivet att företagen kan visa sig sårbara om de inte uppmärksammat dataskyddsförordningen. Ett resultat av denna fara skulle kunna yttra sig i att företagen inte ger ärliga svar på enkätens frågor. En faktor som dock kan ha bidragit till företagens deltagande är att de erbjudits anonymitet. Enkätundersökningens resultat gav det kommande kvalitativa metodarbetet sin struktur.
2.3
Urval: Enkät
Den grupp av individer som är målet för en enkätundersökning benämns ofta som population (Ejlertsson, 2014). Till denna studie var målet för enkätundersökningen, och därmed
populationen, svenska medie- och IKT-företag av olika storleksgrad. Detta för att se om det fanns ett tydligt samband mellan organisationers inriktning samt storlek och deras kunskap om dataskyddsförordningen. I den mån det var möjligt kontaktades företags högsta chef eller IT-ansvarige, då anpassningsarbetet inför dataskyddsförordningen i många fall styrs av dem. Det finns flera typer av urvalsstrategier vid enkätundersökningar, och denna studie har utgått utifrån ett icke-slumpmässigt urval. Det innebär att det inte är möjligt att säga att studien representerar en större opinion än de tillfrågade (Eliasson, 2006). Till de icke-slumpmässiga urvalen hör bekvämlighetsurval (Trost & Hultåker, 2007). En metod som denna studies tillvägagångssätt går att likna vid. Bekvämlighetsurval innebär att forskaren i sitt urval väljer de individer som finns till hands (Trost & Hultåker, 2007), vilket till viss del har applicerats på denna studie då de företag som kontaktades skedde på ett icke strukturerat vis. Samtidigt skickades enkäten endast, som tidigare nämnt, till medie- och IKT-företag. Dessa företag ligger således i linje med vad studien undersökte. De företag som kontaktades fanns via sökmotorn Google samt
branschorganisationer vilka medie- och IKT-företag är medlemmar i. Sökorden som användes via Google var: annonsör, applikationsutvecklare, informations och
kommunikationsteknikföretag, IoT-företag, kommunikationsbyrå, marknadsföringsbyrå, mediebyrå, medieföretag, mediekoncern, reklambyrå, webbyrå. Enkäten nåddes totalt ut till 110 respondenter och antalet insamlade svar blev 50 stycken. Det innebär ett bortfall på 60 företag, och en svarsfrekvens på 45 procent.
2.3.1
Beskrivning av medieföretag
Företagen vilka besvarade enkäten definierade sig antingen som marknadsföringsbyrå, mediebyrå, mediekoncern, kommunikationsbyrå, reklambyrå eller webbyrå. En
marknadsföringsbyrå skapar samt säljer produkter eller tjänster som uppfyller kundens behov, det handlar huvudsakligen om att sälja in en produkt eller tjänst (American Marketing
Association, 2013; CP Communications, u.å.). Mediebyråer hjälper, planerar samt behandlar medie- och kommunikationsaktivitet åt annonsörer. Detta utan att själv inneha ett ägande av den aktuella kommunikationskanalen. (Sverige Mediebyråer, u.å.) Med mediekoncern menas en verksamhet som är inriktad mot media, samt består av en grupp företag (minst två), mellan vilka det existerar ägande. Oftast innebär detta att ett av företagen äger det andra.
(Koncernredovisning, 2017) En kommunikationsbyrå stationerar sig någonstans mittemellan reklam- och pr-branschen. Vidare kan kommunikationsbyråer specialisera sig på olika områden eller en viss bransch, ex. business-to-consumer eller business-to-business. Reklambyrårer arbetar med att framställa en idé vilken sedan färdigställs till färdig produkt, t.ex. i form av trycksak, annons eller webbsida. En webbyrå är relativt lik en reklambyrå, men skillnaden är att de endast arbetar med produktioner för publicering på webb. (Kreafon, 2013)
2.3.2
Beskrivning av IKT-företag
Denna studie syftar till att studera medie-och IKT-företag. Ett IKT-företag presenteras I studiens kvalitativa undersökning men IKT-företagen utgör dessvärre ett bortfall i
enkätundersökningen. Utvecklingen av informations och kommunikations teknologier har skapat möjligheter för nya typer av massmedia och mediekanaler i deras syfte att sprida och skapa vägar för kommunikation. Nya kommunikationsteknologier som dagens smartphones, internet och datorer skapar märkbara förändringar i samhället. Kommunikations teknologi inkluderar såväl hårdvara som organisatoriska strukturer samt på det sätt människor samlar, behandlar och utbyter information. Dagens media med dess kanaler har skapats i samband med informations och kommunikations teknologins utveckling. (Nag, 2011) Inom informations och kommunikationsteknologin har IoT (Internet of Things)-lösningar under de senaste åren varit frekvent återkommande inom olika kontexter (Atzori, Iera & Morabito, 2017). Begreppet IoT syftar till den tekniska utveckling inom IKT där maskiner, fordon, accessoarer och
hushållsapparater kan uppfatta och kommunicera med dess omvärld (Den digitala resan, 2015).
2.3.3
Analys av enkätundersökning
För att underlätta analysen av enkätundersökningen fördes företagens svar in i en tabell, vars syfte var att konkretisera svaren. Vid registrering av enkätsvar har enbart svaren dokumenterats och respondenternas namn och arbetsplats har behållits konfidentiellt. Detta då Bell och Waters (2014) beskriver att anonymitet innefattar att inte ens forskaren själv bör känna till vilka svar som angivits av specifik respondent. Den data som insamlats via enkätundersökning presenteras
via skrift i studiens resultatkapitel samt genom stolpdiagram och cirkeldiagram i studiens bilagor Anledningen till detta går att koppla till Ejlertsson (2014), som menar att det är passande vid presentation av variabler med enstaka värden. Diagrammen användes för att presentera de kontaktade företagens arbetsområde (mediebyrå, kommunikationsbyrå, marknadsföringsbyrå, reklambyrå, mediekoncern eller webbyrå ), hur många som är anställda hos de kontaktade företagen, hur många av de kontaktade företagen som uppmärksammat dataskyddsförordningen inom sin verksamhet samt hur många av de kontaktade företagen som planerat något typ av förändringsarbete mot den nya dataskyddsförordningen. I presentationen av företagens storlek har dessa delats in enligt stora, medelstora, små och mikroföretag. Fördelningen har skett enligt statistiska centralbyråns definitioner av företag och dess storlek (Scb, 2008). Studien syftar ej till att studera samband mellan företagens storlek och anpassning mot dataskyddsförordningen. Därför har inga vidare statistiska tester utförts eller analyserats.
2.4
Kvalitativ metod – multipel fallstudie
Harboe (2013) beskriver kvalitativa metoder som undersökande och utforskande. Normalt inkluderar kvalitativa metoder ett fåtal respondenter och syftet är att samla in mångsidig information för att sedan tolka. Kvalitativa metoder består ofta av intervjuer av olika karaktär. (Harboe, 2013) Författarna till denna studie anser att det är lämpligt att använda sig av fallstudie som struktur och metod för att vidare närma sig problemområdet. Fallstudier är exempel på en metod som är vanligt förekommande inom kvalitativ forskning. Fallstudier anses passande då forskaren ges möjlighet att på djupet undersöka ett avgränsat perspektiv av ett problem under en begränsad tid. Forskaren studerar genom fallstudien en viss företeelse, t.ex. en förändring i en organisation (Bell & Waters, 2014), vilket i detta fall kan kopplas till denna studies avgränsade undersökningsområde kopplat till förändringsarbete drivit ur dataskyddsförordningen.
Yin (2007) beskriver fallstudien vid en metod som utmärks genom att den strävar efter att studera nutida fenomen i deras verkliga kontext. Jensen och Sandström (2016) menar att fallstudien som metod lämpar sig då en företeelse är komplex och beroende av sitt
sammanhang. Vidare beskriver Jensen och Sandström (2016) hur den komplexa företeelse som skall studeras skall vara samtida och förstås ur konkreta händelser. Detta kan kopplas till studiens problematisering kring företags planering av och inför förändringsarbete inom medie- och IKT företag. Harboe (2013) beskriver hur en multipel fallstudie kan användas vid studier av ett flertal fall. En multipel fallstudie är passande för att undvika att återspegla en skev bild av problemområdet och Eisenhardt och Graebner (2007) menar att flerfallsstudier dessutom bidrar med ett rikare empirisk material samt ger en större analytisk kraft. I förhållande till denna teori
fann författarna till studien det som lämpligt att genomföra en flerfallsstudie som undersöker de olika medie- och IKT-företagen. De studerade fallen i den kvalitativa undersökningen består av företag med vissa skillnader. Dessa skillnader har koppling till företagensolika inriktningar vilka är desamma som i studiens enkätundersökning och beskrevs kortfattat i rubrik 2.3.1. Likheten mellan dessa fall är att de befinner sig inom samma bransch.
2.4.1
Urval: Intervjuer
Ahrne och Svensson (2015) beskriver att när en studies metod är fastställd, bör ett beslut angående vilka empiriska objekt som är mest lämpade för studien fattas. Dessutom bör enligt Yin (2007) ett beslut kring antalet empiriska objekt som behövs fattas. Vidare anser Yin (2007) att flera fall alltid är bättre än ett fall. I denna studie har antalet empiriska objekt diskuterats med handledaren i syfte att besluta kring ett lämpligt antal. I förhållande till den kvalitativa
undersökningen beslutades att minst sex respondenter var ett lämplig antal.
Detta antal rekommenderades av handledaren. I tillägg till detta beskriver Ahrne och Svensson (2015) att det sällan är tillräckligt att intervjua en till ett par personer. Sex till åtta personer ur en avgränsad grupp kan däremot bidra till ett material som är relativt oberoende enskilda personers högst personliga beskrivningar. Dock kan sex till åtta personer vara ett för litet antal för att bidra till god represetativitet. I förhållande till de sex kvalitativa intervjuer samt en mailintervju denna studie omfattar upplevde författarna en viss mättnad då svaren i många fall var lika. Dessutom bidrog studiens tidsbegränsning till att författarna ej hann med ytterliggare intervjuer. Jensen och Sandström (2016) lyfter Yins (2007) teori kring att förfatattare bör betrakta
flerfallsstudier på samma sätt som multipla experiment, d.v.s. som författare bör en
replikationslogik följas. Detta kan ske enligt bokstavlig replikation eller teoretisk replikation. Bokstavlig replikation förutsäger likartade resultat medan teoretisk replikation förutsäger olikartade resultat. (Jensen & Sandström, 2016) Författarna i denna studie har utgått ifrån en teoretisk replikation, vilket därmed innebär att studien förutsäger olikartade resultat. Med detta i åtanke, ansåg författarna till denna studie att det fanns vissa förmåner med att studera skilda miljöer och därefter jämföra dem. Utifrån den data som samlats in via enkätundersökningen identifierades till en början fyra lämpliga respondenter. Anledningen till varför de ansågs som lämpliga grundade sig i att de representerade olika arbetsområden inom mediebranschen samt IKT-företag. Det hade varit intressant att intervjua företag från fler arbetsområden, men tiden räckte inte till och inga fler företag tackade ja till deltagande i studien. I förhållande till studiens avgränsade ämne ansågs det även behövligt att komplettera studien med ytterliggare
kretsar kring. Därav kontaktades en jurist och en informationssäkerhetsspecialist med förfrågan om att ställa upp på varsin intervju. Dessa personer hade ej deltagit i studiens
enkätundersökning utan kontaktades i samband med ett öppet informationseminarium kring infromationssäkerhet. Dessutom ansågs det vara av betydelse med utlåtande från den svenska tillsynsmyndigheten, Datainspektionen, då de bär en central roll i denna studie.
Datainspektionens utlåtanden har i förhållande till deras centrala roll valts att inte anonymiseras. Detta för att skapa en tydlighet och struktur men också för att stärka studiens empiri.
Respondenternas namn har behållits konfidentiellt. För att få skapa en förståelse och
förtydligande i relation till studiens ämne bidrar juristen, informationssäkerhetsspecialisten och representatnet från datainspektionen med en ”expert” kunskap på det studerade ämnet.
Respondenterna bär olika yrkesroller på respektive arbetsplats. Studiens kvalitativa
undersökning grundas på 7 intervjuer, med 8 olika respondenter. Respondent 1 är jurist vid en advokatbyrå i södra Sverige, Respondent 2 arbetar som konsult inom fältet för
informationssäkerhet. Respondent 3 är jurist vid tillsynsmyndigheten Datainspektionen.
Respondent 4 är IT-säkerhetsansvarig vid ett svenskt mediebolag, Respondent 5, arbetar som IT chef för en strategisk reklambyrå i södra Sverige och Respondent 6, arbetar för en mediebyrå Sverige och ansvarar för byråns Data och Programmatic-enhet. Respondent 7 och Respondent 8, arbetar för ett IoT-företag i södra Sverige. Både Respondent 7 och 8 arbetar som
mjukvaruarkitekter. Vid kontakt med IoT-företaget hade de en önskan om att vara två
respondenter vid intervjun, vilket författarna till studien godkände. Respondenterna presenteras närmare i kap. 4.2.1.
2.4.2
Intervjuer
Den kvalitativa undersökningen i denna studie har utgått ifrån intervjuer. Valet att genomföra intervjuer beror på att intervju som metod bidrar med en större möjlighet för förståelse om hur andra individer upplever en viss situation (Dalen, 2008). Vidare var intervjuerna av
semistrukturerade art vilket innebär att intervjuerna styrs utifrån en intervjuguide med på förhand färdigställda frågor. Trots användning av intervjuguide finns möjlighet att ställa spontana följdfrågor till respondenten samt låta hen tala från egna erfarenheter (Bryman, 2011), vilket är en av anledningarna till att denna intervjumetod valdes. En annan omständighet som påverkade valet att genomföra semistrukturerade intervjuer går koppla till att studier som består av fler än ett fall, vilket enligt Bryman (2011), kräver en relativt strukturerad
intervjumetod. Inför samtliga intervjuer skedde förberedelser genom research, detta innebär en överblickande undersökning kring de verksamheter och sammanhang respondenterna är
(1997), som anser att detta förarbete står i relation till hur pass framgångsrik en intervju kan bli. Samtliga intervjuer bestod av frågor som kretsade kring dataskyddsförordningen och i fall denna har uppmärksammats internt, behandling av personuppgifter, beskrivning av
verksamheten och respondeternas roll. Samt vilken kännedom och påverkan förordningen har på organisationen.
Respondent 4 och Respondent 6 intervjuades över Skype. Anledningen till att intervjuerna skedde över Skype berodde på att respondenterna i fråga befann sig på annan ort. Intervjuerna vilka skedde över Skype varade i cirka 40 minuter. Intervjuerna med Respondent 1, Respondent 2, Respondent 5, Respondent 7 och 8 genomfördes ansikte mot ansikte. Dessa intervjuer
genomfördes på respondenternas arbetsplats och varade i cirka 60 minuter. Samtliga intervjuer spelades in med en mobiltelefon. Respondent 3, som är verksam hos Datainspektionen, intervjuades över e-post.
2.4.3
Analys av intervjumaterial
Det inspelade intervjuerna har analyserats och transkriberats. Intervjuerna transkriberades ordagrant för att få en god översikt av materialet samt vad som sades. Transkribering av intervjuer skedde vid samtliga tillfällen samma dag som intervjun hade genomförts. Författarna till denna studie läste därefter transkriberingarna flera gånger, för att som Alvehus (2013) beskriver få en god inblick i materialet. Kvale och Brinkmann (2009) betonar att det är viktigt att tolka intervjuer som levande samtal, och inte som utskrift. Att uppfatta intervjun som en utskrift kan således resultera i att den reduceras till en samling ord vilka i sin tur kan tolkas som “verbal data”. För att återge studiens empiri så verklighetstroget som möjligt, är detta något författarna haft i åtanke under analys och transkribering av intervjuerna. Fortsättningsvis beskriver Fejes och Thornberg (2009) vikten av analysera de små detaljerna i en intervju vid transkribering. Det innebär att författarna vid transkriberingen försökt att fånga både vad som sägs och hur det sägs.
2.5
Etiska överväganden
Denna studie presenterar yttringar och tillkännagivanden av människor. I och med det bör etiska frågor och ställningstaganden ses över (Ahrne & Svensson, 2015). Bryman (2011) presenterar fyra etiska principer som bör beaktas av forskare. Den första principen, informationskravet, innebär att studiens forskare bör informera deltagarna om syftet med studien, samt att
deltagandet är frivilligt. Den andra principen, samtyckeskravet, redogör för att medverkande på egen vilja deltar i studien. Konfidentialitetskravet är den tredje principen, och innebär att
deltagarnas personuppgifter skall förvaras så att utomstående inte har förfogande till dessa. Den fjärde och sista principen, nyttjandekravet, förtydligar att insamlat material endast får användas till studiens ändamål. (Bryman, 2011) Dessa fyra principer har förtydligats och presenterats för samtliga av studiens respondenter.
2.6
Metoddiskussion
Trots att fallstudier är en vanligt förekommande forskningsmetodik omfattas även denna av kritik. Bell och Waters (2014) menar att det går att ifrågasätta värdet av studier som undersöker enstaka händelser och enheter. Kritiken lyfter att det kan vara svårt att kontrollera informationen och att risker för snedvridna resultat kan uppstå inom fallstudier. En del menar också att det vanligtvis inte går att dra allmänna slutsatser från det resultat fallstudier inkluderar. Dock står Bell och Waters (2014) fast vid att fallstudier möjliggör att studera ett fenomen och en problematik någorlunda ingående. Därav är fallstudien en passande metod för studiens syfte. Waters (2014) menar att fallstudier kan resultera i snedvridna resultat. För att undvika detta grundas denna studie på både en enkätundersökning samt intervjuer. De två metoderna kompletterar varandra enligt Harboe (2013) väl. Hur väl de kompletterar varandra står dock i relation till hur väl de planeras och genomförs. Att använda sig av både enkät och intervjuer är trots detta fördelaktig för slutresultatet hos studien då det genererar en mer realistisk bild av dess syfte och mål. Fyra av studiens intervjuer genomfördes på respektive respondents arbetsplats. Ahrne och Svensson (2015) betonar att det finns risk för att respondenter vill framstå som goda medarbetare när en intervju genomförs vid respondentens arbetsplats. Det kan leda till att respondenten i fråga inte säger vad den tycker, utan presenterar en mer förskönad bild av sin arbetsplats. Detta är en av anledningarna till varför respondetnerna erbjöds anonymitet. Anonymiteten bidrog förhoppningsvis till att respondenterna återgav en verklighetstrogen bild av verksamheten och således inte behövde framstå som de goda medarbetare Ahrne och Svensson (2015) beskriver.
Tidigare i metodkapitlet nämndes att två respondenter intervjuades över Skype och videosamtal. Ahrne och Svensson (2015) anser att denna sorts intervju kan ha en negativ inverkan på
intervjuns slutresultat. Framförallt då dialogen kan uppfattas som mer formell än när intervjun genomförs ansikte mot ansikte, d.v.s. i samma rum. Dock anser Ahrne och Svensson (2015) att det är ett passande beslut vid exempelvis tidsbrist, vilket var en av två bidragande faktorerna, den andra var att respondenterna befann sig på annan ort. Trots att teorin lyfter hur intervjuer via videosamtal kan uppfattas som formell upplevde författarna till denna studie ingen egentlig
skillnad mot de fysiska intervjuerna. Samtliga videosamal gav ett avslappnat intryck och samma möjlighet till följdfrågor gavs.
Respondent 3 intervjuades via mail med förberedda frågor. Detta då respondenten p.g.a. tidsbrist inte kunde boka in en intervju över telefon, Skype eller ansikte mot ansikte. Trots att respondenten inte hade möjlighet till intervju personligen eller över telefon/Skype ansågs respondentens utlåtanden kring det behandlade ämnet tyngre, varvid en mailintervju
genomfördes. Författarna till denna studie anser att denna typ av intervju innebär begränsningar som innefattar t.ex. att spontana följdfrågor inte ges möjlighet att ställas. Studiens övriga intervjuer ljudinspelades. Enligt Harboe (2013) är ljudinspelning inte en idealisk lösning i och med att det är ett konstant påminnande för respondenten om att samtalet inte är en vanlig dialog utan en intervju, vilket kan leda till att intervjuerna uppfattas som krystad eller konstlad. Beslutet att ändå ljudinspela intervjuerna grundar sig i, som Harboe (2013) nämner, att ljudinspelning trots allt är en tacksam metod för att analysera samt sammanställa stor mängd data. Författarna till denna studie ansåg att ljudinspelningen var nödvändig då respondenter ibland gav invecklade och långa svar, vilket utan ljudinspelning hade kunnat missas. Utöver detta tror författarna till denna studie att personer idag är så pass vana vid upptagning av såväl ljud och bild via mobiltelefon att detta inte bör vara en störande faktor eller uppfattas som konstlat.
2.6.1
Reliabilitet och validitet
Oavsett metodval för insamling av information bör alltid denna granskas för att avgöra dess tillförlitlighet och giltighet. Reliabilitet beskrivs av Bell och Waters (2014) vara ett mått för hur pass tillförlitligt studiens insamlade material är. Exempelvis kan en fråga som ger varierande typ av svar i olika situationer anses mindre tillförlitlig. Frågor som söker respondentens åsikter kan också påverka dess svar. Aktuella händelser kan då t.ex. påverka svaren som ges. (Bell och Waters, 2014) Vidare menar Harboe (2013) att hur pass tillförlitlig studiens insamlade empiri är kan undersökas genom att genomföra studien igen med ett alternativt tillvägagångssätt, och därefter se om samma resultat uppnås. Ytterligare intervjuer, en mer ingående
enkätundersökning eller observationer hade kunnat brukats för att bekräfta eller dementera studiens slutsatser. Motivet till att detta inte gjordes grundar sig främst på studiens omfattning och tidsbrist. Ännu en faktor som påverkar reliabiliteten är studiens bortfall. Ejlertsson (2014) beskriver att detta är då en individ inte har möjlighet, eller inte vill delta i t.ex. en
enkätundersökning. I studiens enkätundersökning finns ett bortfall gällande IKT-företag vilket har en påverkan på studiens reliabilitet och generaliserbarhet. Fortsättningsvis menar Ejlertsson (2014) att ju större bortfall en undersökning har, desto mer påverkar det risken för
generaliserbarheten för den utvalda populationen. Det viktigaste vid bortfall är att det inte ignoreras eller nonchaleras. Det författarna till denna studie gjort för att minimera risken för ett stort bortfall var att försöka motivera deltagarna till att delta i undersökningen. Detta genom att tydligt beskriva och betona vad deras deltagande bidrar till i forskningsväg, samt skicka
påminnelsemail till de som inte besvarat enkäten. Fortsättningsvis beskriver Bryman (2011) hur bortfallet kan minskas ifall studiens syfte presenteras vid enkätens utskick. Vilket också gjordes vid enkätens utskick. Det kan dock enligt Bryman (2011) också betraktas som en nackdel, då det kan påverka deras synsätt och svar. För att maskera enkätens syfte hade dess storlek kunnat utökas, men det var en faktor som skulle kunna bidra till ett än större bortfall. Detta då individer vilka besvarar en enkät sällan vill lägga så mycket tid på att besvara den (Bryman, 2011).
Fortsättningsvis har de fyra källkritiska principerna tidssamband, äkthet, oberoende och
tendensfrihet vilka beskrivs av Thurén (2005) samtliga tagits till hänsyn i denna studie. Studiens källor har därmed genomgått referensgranskning utifrån dessa fyra principer. I förhållande till begreppet validitet bör studiens faser anses relevanta till den formulerade problemställningen (Harboe, 2013). Studiens samtliga aktiviteter har därför genomförts med syfte att besvara studiens övergripande frågeställning. Fortsättningsvis nämner Ejvegård (2003) att
respondenterna talar utifrån egen erfarenhet, vilket gör att respondentens svar inte kan försäkras som generaliserbara. I många fall kan ett större antal respondenter bidra till ett mer
generaliserbart resultat vilket ökar studiens validitet. Yterliggare faktor som eventuellt har påverkat studiens validitet och generaliserbarhet är att urvalet till studiens enkät skedde utifrån ett bekvämlighetsurval. Trost och Hultåker (2007) nämner att det största problemet med bekvämlighetsurval är att det är datainsamlaren själv som avgör vem eller vilka som skall få ett formulär, vilket inte ger en representativ återgivelse av hela populationen. Detta är något studiens författare varit medveten om, men studiens empiri kan ändå ge en indikation kring vilken kunskap svenska medie- och IKT-företag besitter kring dataskyddsförordningen, samt om de påbörjat eller planerat ett anpassningsarbete inför dataskyddsförordningen. Trots väl förberedda intervjuer så har författarna till studien identifierat gap i studiens empiri. Dessa gap hade dock inte kunnat förtydligas av respondenterna i den kvalitativa undersökningen. Trots att respondenterna har getts en inledning på vad studien och intervjun skulle behandla har
respondenterna inte kunnat besvara de ställda frågorna vid flertal tillfälle. Detta står tydligt i relation till att respondenterna saknat kunskap kring dataskyddsförordningen. Författarna till denna studie har reflekterat kring huruvida det i nuläget är svårt att studera det behandlade ämnet i förhållande till medie- och IKT-branschen, trots det presenterar studien intressanta aspekter, förhållningssätt och resultat. Något som är av nytta för målgruppen.
3.
Teoretiskt ramverk
Här nedan presenteras en generell beskrivning av dagens medie- och IKT-bransch, dataskyddsförordningen och teori kopplad till strategi- och förändringsarbete.
3.1
Medieindustrin idag
Hess (2014) beskriver medieföretag som organiserare av mediebaserad kommunikation vilka idag bidrar med innehåll, plattformar eller agerar i hybrida former. Dock menar Hess (2014) att inga tydliga definitioner på vad medieföretag är finns. McPhillips och Merlo (2008) har skapat en generell affärsmodell för medieföretag. Affärsmodellen beskriver hur olika intressenter interagerar med varandra, samt hur relationen mellan huvudaktörerna, konsumenten,
annonsören och medieägaren ser ut. Affärsmodellen (se figur 1) visar hur medieägaren erbjuder innehåll och reklam, vilket betalas av konsumenten genom prenumeration eller tid.
Konsumenten påverkas i sin tur även av innehåll, t.ex. reklam. Modellen visar också att annonsören ofta använder sig av konsulter för att skapa det budskap annonsören vill ha, och sedan köper utrymme hos medieägaren som distribuerar detta budskap. Fortsättningsvis menar Nygren och Wadbring (2013) att denna affärsmodellen tydliggör det komplexa samt invecklade sambandet mellan medieindustrins olika intressenter.
Figur 1. En affärsmodell för medieföretag illustrerad av McPhillips och Merlo (2008), återskapad av Kajsa Kidman.
3.2
Dataskyddsförordningen
1995 stiftades DPD (Data Protection directive 95/46/EC) som lade grunden för ett individuellt dataskydd i Europa. DPD har blivit en internationell standard för individuellt dataskydd. Direktivet introducerade legala principer som närmare blev internationell standard. Trots att det grundläggande direktivet generellt uppskattades, så kritiserades det även vilket ledde till utvärdering kring reglementets lämplighet i det moderna digitala landskapet. Utvärderingen ledde år 2012 fram till EU-kommissionens förslag på en ny dataskyddsförordning. (Cuijpers, Purtova & Kosta, 2014) Förordningen representerar den mest signifikanta förändringen I europeisk dataskyddslagstiftning sedan införandet av DPD, 1998, PuL på svenska, och är enligt Boban (2016) en milstolpe i förhållande till dataskydd och ett steg mot en enhetlig digital marknad inom EU. Europeiska kommissionen hävdar att individer idag känner en ökad oro kring integritetpå webben samt hur personlig data behandlas av olika företag (Eurobarometern, 2015). EnligtEurobarometern, Europaparlamentets egna opinionsundersökning, anser 67 procent av européerna att de inte har kontroll över deras personliga data. En majoritet av européerna önskar även att de hade möjlighet att ge sitt godkännande innan hämtning och process av personlig data kan genomföras av företag. Enbart 24 procent känner fortsättningsvis någon tillit till webbaserade tjänster somsökmotorer, sociala nätverk och e-postleverantörer. (Eurobarometern, 2015) Ur denna bakgrund har dataskyddsförordningen och dess principer arbetats fram för att balansera fördelarna med tekniken och dess utnyttjande av företag, samt hantera riskerna med insamling av personlig data. (Cuijpers et al., 2014) Förordningen kommer sätta en rad organisationer i kläm då den kräver att verksamheter förändrar hur de hanterar och säkrar personlig data, utan att nödvändigtvis erbjuda dem lösningar på hur detta skall gå till (Mansfield-Devine, 2016).
En förordning är en typ av rättsakt som består av ett antal regler vilka är bindande. Förordningar är verksamma direkt och fungerar likadant i alla europeiska medlemsländer. (EU upplysningen, 2016) En förordning beskrivs av Bernitz och Kjellgren (2014) som mycket betydande och då den är en central unionslagstiftning besitter den en stark genomslagskraft.
Dataskyddsförordningen omfattas även av direktiv. Direktiv beskrivs av EU-upplysningen (2016) vid mål som medlemsländerna skall uppnå. Direktiv riktar sig till medlemsstaterna och inte till enskilda nationer. Hur dessa skall uppnås lämnas dock åt de olika länderna. (EU-upplysningen, 2016)Förordningen består av 173 stycken beaktandesatser vilka presenteras i förordningens inledandedel. Dessa följs av 99 artiklar vilka Datainspektionen beskrivs som förordningens centrala delar. (Datainspektionen, 2016) Därefter presenteras i förordningen direktiv samt dess 107 skäl och 65 artiklar adresserade till EU:s medlemsstater. Trots att
förordningen bidrar med en och samma lag kring dataskydd i hela Europa så finns vissa nationella särregler. Det finns således ett utrymme för nationella regleringar för det sätt myndigheter får hantera personuppgifter på. (Datainspektionen, 2016)
3.2.1
Skäl till dataskyddsförordningen
Förordningen (EU 2016:679) inleds med skäl till antagandet av en ny dataskyddsförordning. Bland skälen nämns att skyddet för fysiska personer vid behandling av personuppgifter är engrundläggande rättighet. Förordningen skall därför skapa ett område med frihet, säkerhet och rättvisa. Förordningen beskrivs respektera samtliga grundläggande rättigheter som t.ex.
tankefrihet, samvetsfrihet, religionsfrihet, skydd av personuppgifter m.fl. (EU 2016:679) Privat sektor såväl som offentlig har ökat deras insamling och delning av personuppgifter och dessa nyttjas inom verksamheterna i allt högre grad för att skapa nya affärsmöjligheter. Ur denna bakgrund hävdar Europaparlamentet att dessa sociala förändringar ställer krav på ett förstärkt dataskydd inom unionen. (EU 2016:679)
3.2.2
Datainspektionen
Datainspektionen är en myndighet som bidrar till att behandling av personuppgifter sker på ett korrekt vis samt att inga intrång i individers personliga integritet sker. Myndigheten verkar likt en motkraft mot icke befogad registrering av personuppgifter. I deras arbete utbildar och informerar de verksamheter vilka behandlar personuppgifter. Myndigheten kontrollerar även att verksamheterna följer de lagar som finns och främjar att nya lagar innehåller regler som skyddar den personliga integriteten. (Datainspektionen, 2016) Regeringen beslutade I november 2016 att Datainspektionen skall verka för att underlätta näringslivets anpassning till
dataskyddsförordningen. (Regeringskansliet, 2016) Regeringen uttrycker att Datainspektionen i förhållande till dataskyddsförordningen skall bidra med ett kunskapsstöd för att underlätta att svenska företag vid anpassning till det nya regelverket inte tappar tempo i deras innovations-, affärs- samt verksamhetsutveckling. Samtidigt skall ett gott integritetsskydd
säkerställas.(Regeringskansliet, 2016)
Även Datainspektionen själva väntar organisatoriska förändringar inför den nya förordningen. Myndigheten skall bl.a. utföra de förhandskontroller som berör olika verksamheters riskfyllda behandling av uppgifter. En förhandskontroll skall genomföras innan vissa integritetskänsliga hanteringar av personuppgifter får påbörjas. Kontrollen innebär att myndigheten bedömer om behandlingen av personuppgifter överensstämmer med lagstiftningen. (Datainspektionen, 2016) Utöver denna typ av kontroll skall myndigheten även vara den instans som bedömer
företag som inte lämnar information till registrerade eller hanterar uppgifter utan laglig förankring. Datainspektionen är även den myndighet dit säkerhetsincidenter skall anmälas. (Datainspektionen, 2016)
3.2.3
Ansvar under dataskyddsförordningen
Datainspektionen (2016) beskriver att en personuppgiftsansvarig i de flesta fall är ett bolag eller en myndighet som inom sin verksamhet behandlar personuppgifter. En ansvarig bestämmer vilkauppgifter som skall behandlas samt hur dessa skall nyttjas. En personuppgiftsansvarig är därmed inte i de flesta fall en enskild person. Undantag utgörs av enskilda företagare. Om flera personertillsammans beslutar kring en viss behandling är dessa personer tillsammans ansvariga. Det ärde unika omständigheterna i det faktiska fallet som avgör vem som är
personuppgiftsansvarig.En juridisk person eller de juridiska personer som är
personuppgiftsansvariga bär ansvar ävendå verksamheten verkar i flera organisatoriska enheter, t.ex. inom en koncern. Behöver samtligaenheter i organisationen nyttja samma personuppgifter kan ansvarsfördelningen variera.
Dettaberoende av om moderbolaget ensamt beslutar över behandlingen eller om alla bolag inomkoncernen gemensamt bestämmer över behandlingen. I det andra fallet blir samtliga bolag ansvariga för de uppgifter vilka behandlar och registreras. De olika bolagen kan givetvis var för sig också ansvara för register vilka de bestämmer över. (Datainspektionen, 2016) En
personuppgiftsansvarig är i samband med dataskyddsförordningen ansvarsskyldig och skall enligt förordningen kunna visa för tillsynsmyndigheten att principer och rutiner följs (Datainspektionen, 2016). Förordningen (EU 2016:679) beskriver att beroende av vilken omfattning och ändamål behandlingen av personuppgifter avser samt riskerna med denna ställs krav på personuppgiftsansvarig att lämpliga tekniska och organisatoriska åtgärder vidtas. Vidare skall personuppgiftsansvarig säkerställa att endast de uppgifter som är nödvändiga för
ändamålet behandlas. Skyldigheten avser därmed den mängd uppgifter som behandlas, hur de används, hur länge de lagras och hur dessa tillgängliggörs. Personuppgiftsansvarig ansvarar även för att dokumentera och föra register över den behandling som utförts.
Där skall ändamålen med behandling beskrivas följt av kategorier av registrerade samt dess personuppgifter, vilka mottagare som personuppgifterna har lämnats ut till (även i tredjeländer) samt hur och när uppgifter raderas. (EU 2016:679)
Ett personuppgiftsbiträde är alltid någon utanför verksamheten. En anställd som behandlar personuppgifter anses inte vara ett biträde. Ett personuppgiftsbiträde är antingen en fysisk
alternativt en juridisk person. Skulle en verksamhet och dess ansvariga anlita en extern
servicebyrå blir byrån ett personuppgiftsbiträde vilket tillåts att behandla uppgifterna enligt den ansvariges beskrivning. De säkerhetsåtgärder vilka den ansvariga skall upprätthålla skall också vidtas av biträdet. Det yttersta ansvaret för individens personuppgifter kan alltså aldrig
överlåtas. (Datainspektionen, 2016) Om biträdet blir utsatt för ett intrång eller en incident inom organisationen uppstår skall den ansvarige utan dröjsmål underrättas. Även biträdet omfattas av samma risk för sanktioner som den personuppgiftsansvarige. (Datainspektionen, 2016)
I samband med den nya dataskyddsförordningen, beskriver Datainspektionen (2016), att ansvaret som personuppgiftsansvariga och biträden bär har vidgats. Förordningen innehåller ytterligare regler som riktar sig till dessa; samtliga med syfte att förtydliga det ansvar som åligger verksamheter som behandlar personuppgifter samt vilka skyldigheter dessa har. Biträden skall likt ansvariga dokumentera behandling de utför åt den ansvariges räkning. Dock gäller det dock enbart företag vilka omfattar mer än 250 anställda. (Datainspektionen, 2016)
I vissa fall måste även biträden utse ett dataskyddsombud. Denna skyldighet omfattar
myndigheter och verksamheter vilka hanterar särskild riskfylld behandling. Exempel på dessa kan vara verksamheter som utför systematisk övervakning av de registrerade eller hanterar känsliga uppgifter. Den person som tillsätter rollen som dataskyddsombud bör ha kunskap om dataskydd samt förses med det stöd som krävs för att kunna utföra sitt arbete effektivt.
(Datainspektionen, 2016)
I §39 (EU 2016:679) beskrivs dataskyddsombudets uppgifter, vilka är att: informera samt rådgöra personuppgiftsansvarige eller personuppgiftsbiträde om de skyldigheter
dataskyddsförordningen medför, övervaka verksamhetens efterlevnad av förordningen samt samarbeta med tillsynsmyndighet.
3.2.3.1
Säkerhetsåtgärder
De personuppgiftsansvariga såväl som biträden bär i samband med dataskyddsförordningen ett ansvar att ta till lämpliga organisatoriska samt tekniska åtgärder för att säkerställa
säkerhetsnivån i förhållande till den behandling av personuppgifter verksamheten utför. Datainspektionen (2016) lyfter hur vissa organisationer bör funderar över pseudonymisering och kryptering av personuppgifter, menockså bedöma och säkerställa de system som nyttjas ur säkerhetssynpunkt. Vad organisationer av olika slag behöver göra för förändring beror dock på vilka risker som deras behandling av uppgifter innebär. (Datainspektionen, 2016)
i arbetet mot Datainspektionen. Checklistan är framtagen för att vara behjälplig när verksamheter skall ta reda på vilka skillnader som finns mellan nuvarande lagstiftning och förordningen samt hur förordningen kan komma att påverka verksamheten. En skillnad som lyfts i Datainspektionens vägledning är den vikt som läggs vid att den personuppgiftsansvarige skall kunna påvisa, genom dokumentation att förordningen efterföljs. (Datainspektionen, 2016)
3.2.4
Samtycke
Det finns idag flera lagar vilka ställer krav om samtycke vid användning av digitala tjänster. Dels lagen (2003:389) om elektronisk kommunikation samt PuL (1998:204). Då samtycket i lagen om elektronisk kommunikation har samma innebörd som PuL, innebär detta att lagen kommer att påverkas av dataskyddsförordningen när PuL utgår. (Lagen, 2017)
Ett giltigt samtycke enligt Datainspektionen (2016) är i grunden detsamma i
dataskyddsförordningen som i PuL. Det som skiljer dem åt är premisserna, då villkoren för samtycke är mer specificerade i förordningen än i PuL. Samtycke utifrån
dataskyddsförordningen bör lämnas genom en entydig bekräftande aktion. Samtycket innebär ett tydligt medgivande från den registrerades vilket innebär att denne godkänner behandling av personuppgifter rörande honom eller henne. Detta kan ske via en skriftlig, elektronisk eller muntlig förklaring. (Datainspektionen, 2016) Bartolini och Siry (2016) beskriver hur samtycke är en mycket betydande faktor i samband med behandling av data och att förordningen
förtydligar hur samtycken skall hämtas och behandlas. Fortsättningsvis beskriver Škrinjar
Vidović (2016) att på förhand ikryssade rutor i och med detta inte innebär samtycke. Vid hantering av känsliga uppgifter behövs ett mer uttryckligt och tydligt medgivande (Škrinjar
Vidović, 2016).Fortsättningsvis skall samtycket vara informant, begäran om samtycket ska presenteras på ett lättförståeligt språk, och om behandlingen av personuppgifter tjänar flera olika syften bör samtycke ges till samtliga syften. Det innebär också att den registrerade bör känna till identiteten hos personuppgiftsansvarige. Samtycket kan inte betraktas som frivilligt om den registrerade inte har möjligheten att vägra eller ta tillbaka sitt samtycke. Då samtycke från den registrerade har hämtats skall personuppgiftsansvarige kunna påvisa de registrerades samtycke till behandlingen. Om en enskild person ej gett samtycke får ej företagen behandla den enskildes uppgifter. (EU 2016:679) Vid insamling av personuppgifter beskrivs i
förordningen (EU 2016:679) att information till användaren vid inhämtning skall
tillhandahållas. Denna information skall innehålla den ansvariges identitet och kontaktuppgifter, i vissa fall även företrädarens kontaktuppgifter. Om ett dataskyddsombud finns skall dennes uppgifter anges. Ändamålet för uppgifterna skall även framgå samt om uppgifterna avses överföras till tredjeland eller internationell organisation. Utöver denna information är det viktigt
att den ansvarige anger hur länge uppgifterna skall lagras. Rätten till rättelse och radering skall också framgå samt om behandlingen innefattar profilering d.v.s. automatiserad behandling. Logiken bakom profilering skall även framgå samt följderna av sådan. (EU 2016:679)
3.2.5
Molntjänster
Idag använder, enligt Škrinjar Vidović (2016), många företag sig av molntjänster vars syfte äratt hantera och spara data. Införandet av dataskyddsförordningen handlar till mångt och mycket om att ha kontroll över sin data, och ett antagande om att personuppgiftsansvarige har full kontroll på derasdatabehandling. Användandet av molntjänster försvårar denna kontroll.
Fortsättningsvisbeskriver Škrinjar Vidović (2016) att eftersom företag vilka driver molntjänster ompositionerardatan de behandlar, är det omöjligt att få samtycke på data som behandlas i molntjänster.
3.2.6
Den registrerades rättigheter
I förordningens tredje kapitel (EU 2016:679) belyser fem avsnitt hur den registrerades
rättigheter, d.v.s. Enskildas rättigheter, i samband med förordningen stärks. Detta genom att den registrerade ges rätten tillbättre insikt i vilka uppgifter som av personuppgiftsansvariga
behandlas samt till vilket ändamåldessa används. Den registrerades kontroll ökar därmed samtidigt som rättigheterna ställer kravpå verksamheter vilka behandlar personuppgifter (IT Privacy Governance Team, 2016).
3.2.6.1
Tillgång till personuppgifter
Den registrerade skall i enlighet med förordningens tredje kapitel och 15§ (EU 2016:679) få bekräftelse på om uppgifter som tillhör hen behandlas av personuppgiftsansvarig. Den
registrerade har även rätt till information om ytterligare mottagare som uppgifterna har lämnats ut till, speciellt då uppgifterna lämnats till mottagare som inte är medlemmar i EU eller EES. Under den period vilken uppgifterna behandlas under skall om möjligt även framgå. Då den registrerade begär ett utdrag kring vilka uppgifter som behandlas skall den
personuppgiftsansvarige kostnadsfritt tillgodose den registrerade med en kopia av vilka uppgifter som behandlas. Om den registrerade genomför sin begäran i elektronisk form skall information ges till den registrerade i ett elektroniskt allmänt använt format. (EU 2016:679) Den personuppgiftsansvarige skall inom en månad tillgodose den registrerade med information. Detta krav skiljer sig från befintlig lagstiftning som saknar exakt tid. Kravet kan för organisationer vilka tar emot ett stort antal förfrågningar om utdrag bli problematiskt och resurskrävande. (IT Privacy Governance Team, 2016) Fortsättningsvis har den registrerade rätt
