The vibrant compliance culture
2 maj, 2019Modell för att räkna på konsekvens vid personuppgiftsincidenter
29 maj, 2019Debatten inför EU-valet hårdnar och politikerna går ut med mer eller mindre publikfriande löften inför valdagen. Förra veckan kunde vi läsa om att Tomas Tobé ville avskaffa EU:s dataskyddsförordning, i folkmun kallad GDPR. Det är hyfsat enkelt att förstå varför han går ut och berättar om sin intention. Det är få förkortningar som det senaste året har fått så många att irriterat rynka på ögonbrynen och beklaga sig över hur ”allt var bättre förr”. 13 maj följer SvD:s ledarskribent Karl Sigfrid efter och tycker att det är bra att (M) tar på sig uppgiften att tämja det så kallade monstret och att hålla lagstiftandet till en lagom nivå.
Det är förståeligt att man inte gillar GDPR när man inte har bakgrunden och själva regelverket klart för sig. GDPR kräver inte att företagen krånglar till sina processer eller raderar allt som har med personuppgifter att göra från sina system. Däremot ställer GDPR krav på att ha ordning och reda på sin personuppgiftsbehandling. Låt mig därför få avliva några myter som uppstått om regelverket:
- Krav på dataskydd är ingen nyhet: Rätten till sina personuppgifter infördes redan i artikel 12 1948 i Förenta Nationernas rättighetsstadga, vilken även fastställs i Europakonventionen som gäller som svensk lag. I Sverige har vi haft specifik dataskyddslagstiftning sedan 1973. Innan GDPR började tillämpas fanns Personuppgiftslagen (PUL), en svensk lag från 1998 som infördes för att uppfylla det så kallade dataskyddsdirektivet som antogs i EU redan 1995. Problemet är att PUL var ganska tandlös eftersom sanktionerna om den inte åtföljdes ”endast” var fängelse, föreläggande vid vite och skadestånd till de registrerade, vilka utdömdes väldigt sällan eller handlade om väldigt låga belopp. Detta fick till följd att många företag helt enkelt struntade i att följa PUL, vilket gör övergången till GDPR desto jobbigare eftersom dagens sanktioner är allt annat än tandlösa.
- Antalet reformer i GDPR är färre än vad många tror: Som nämnt ovan, det fanns dataskyddsregler redan innan GDPR men problemet var att väldigt få företag följde dem. Rätten att bli glömd, som fått så mycket uppmärksamhet, fastställdes av EU-domstolen i Luxemburg redan innan GDPR skulle börja tillämpas. Rätten till information, som gjorde att alla fick cirka 3000 email från företag om hur företagen behandlade personuppgifter, fanns redan i PUL men har blivit något utökad i och med GDPR. Dessutom fanns det redan i PUL krav på en så kallad rättslig grund för att få behandla personuppgifter, men GDPR ställer krav på att samtycket till att behandla personuppgifter samlas in på ett mer korrekt, informativt och frivilligt sätt. De två största förändringarna är dels kravet på accountability, dvs. att företagen ska kunna visa och bevisa hur de följer GDPR samt sanktionsavgifterna på upp till 20 miljoner EUR eller 4% av den globala årsomsättningen, vilka båda tydligen var nödvändiga för att företaget skulle börja ta dataskydd på allvar och för första gången sedan införandet av dataskyddsregler 1973 faktiskt jobba med dataskydd.
- ”Ingen vet hur reglerna ska tillämpas”: Detta är visserligen sant, till viss del. När dataskyddsdirektivet antogs 1995 kunde gemene man inte förutspå vilka jättekliv tekniken skulle ta. Under de snart 25 år som gått sedan det antogs har smartphones blivit en oundviklig del av nästan allas liv, musik streamas och är mer bärbar än någonsin och ingen behöver idag gå länge utan att hitta ett svar på en fråga. Med detta i åtanke är det bra att GDPR inte är mer specificerad än vad den är. Att utforma en teknisk lagstiftning som listar specifika lösningar hade definitivt varit slöseri med EU:s och företagens resurser, eftersom en sådan lagstiftning hade varit hopplöst utdaterad redan efter 5 år. Nu är det upp till praxis, dvs. tillsynsmyndigheter och domstolar att utforma hur regelverket ska tolkas.
- Det är inte en onödig lagstiftning: Personuppgifter är navet för vårt samhälle som det fungerar idag. Sociala media baserar sina affärsidéer på personuppgifter, vi förlitar oss alltmer på tekniken som exempelvis bokstavligen kan guida oss rätt när vi är vilse och vi efterfrågar mer och mer personligt anpassade tjänster och produkter. Inget av detta skulle vara möjligt utan personuppgifter. Samtidigt rapporteras det varje vecka om hur företag samlar in information om oss som sedan säljs vidare och hur information om oss ligger öppet online för enkel åtkomst. För att inte tala om hur mycket staten satsar på informations- och IT-säkerhet i samband med val, eftersom skyddet för personuppgifter är till viss del en demokratifråga. Vi behöver ett regelverk som reglerar dessa situationer, så att vi kan fortsätta utnyttja de fördelar som teknikens utveckling för med sig utan att riskera att våra liv hamnar på lit de parade av kommersiella skäl.
- Det är inte onödigt att EU lagstiftar om detta: Utbyte av personuppgifter är idag internationell, det är väldigt sällan information om dig stannar kvar inom Sveriges gränser. Handel och framför allt informationsutbyte sker över gränserna i ett nästan konstant flöde. Därför behövs europeisk lagstiftning. Vi i Sverige ska vara glada för det, med tanke på hur låg nivå vi tidigare hållit i denna fråga. Vi i Sverige litar på staten och de vi lämnar ut våra uppgifter till, troligen för att vi inte behövt stå ut med något extremt missbruk och för att offentlighetsprincipen har invaggats oss i en föreställning om att vi ändå kan använda andras personuppgifter lite som vi vill, ”de finns ju ändå där”. Jämför detta med Tyskland, det EU-land som innan GDPR var absolut bäst på dataskydd. Inte så konstigt kanske, med tanke på vilka missbruk av personuppgifter som skett där historiskt.
Det är visserligen alltid bra att vara granskande mot nya regelverk och det är ibland bra med nytt blod i maktens korridorer. Men regelverk ska endast rivas upp och underkasta sig devisen ”gör om, gör rätt” när det är det är motiverat, inte när ett partis förstanamn vill locka till sig nya väljare.