GDPR:s effekter på användares skydd avpersonliga data på internet

Höber, Christoffer, Marklund, Josef

January 2020

Personliga data samlas in när vi besöker internetsidor och tillgång till personliga data har snabbt fåttavgörande betydelse för alltfler företags värdeskapande. Därför har metodutveckling för tillgång tillpersonliga data blivit en central del i företags konkurrenskraft. Det medför emellertid stora och riskerför individers personliga integritet. För att motverka sådana risker infördes 2018 den europeiskadataskyddsförordningen (GDPR). Vår analys visar att GDPR ger ett stort tolkningsutrymme för hurföretag informerar om datainsamling via cookie-notifikationer. Utformningen varierar därför kraftigtoch designas ofta för att styra användare mot att acceptera datainsamling. Vår analys visar att eneffekt av GDPR är att antalet cookie-notifikationer ökat avsevärt och att individers medvetenhet omoch oro inför hur personliga data samlas in och används har ökat efter GDPR:s införande. Däremotpekar våra resultat på att GDPR inte haft några betydande effekter på användares beteende när detgäller att aktivt skydda sina personliga data. De viktigaste skälen till att GDPR inte haft några effekterpå användarnas beteende för att skydda sina personliga data är att det är alltför tidskrävande och svårt.Vår analys visar därför att det så kallade “informerade samtycket” till insamling av personliga datainte effektivt uppnås trots GDPR:s införande. Vår slutsats för fortsatt forskning är att det är angelägetmed fördjupad forskning kring obalanser mellan individer, företag och reglerande myndigheterkopplat till hur personliga data samlas in, sammanställs och används. / The collection of personal data has become a crucial part of companies value creation. Because ofthat, the development of methods to get access to power over the personal data has become a centralpart in the competitiveness between companies. This has resulted in risks and concerns concerningindividual privacy. To counteract these risks, the European Union introduced the General dataProtection Regulation (GDPR). Our analysis shows that one effect of the GDPR is an increased usageof cookie-notifications when informing users of data collection. Our analysis also shows that theregulation has room for interpretation for how the companies inform the user about data collectionpractices. That has resulted in varied design methods in cookie-notifications that often steer userstowards an acceptance of collection of personal data. Because of the increased usage of cookienotificationsusers awareness and privacy concerns has drastically increased. However, our findingsshow that the regulation hasn’t had an effect on user behavior, specifically connected to protectingtheir personal data online. The main reasons for this are that it takes a lot of effort and time tocomprehend how that is done practically. Therefore, our analysis shows that “informed consent” isnot effectively achieved in the current methods, despite it being required in the regulation. Ourconclusion is therefore that future research should focus on the imbalance between individuals,companies and regulatory instances when addressing the problems with collection and usage of personal data.

GDPR

data mining

personal data

right to be informed

informed consent

privacy

user behavior

GDPR

Datainsamling

personliga data

rätten till information

samtycke

integritet

anändarbeteende

Information Systems