Bråttom anpassa företagets dataskydd

När det gäller digitaliseringen av Europa hade hon redan tagit ett par mindre skalper. En var att sätta en gräns för roamingavgifterna. En annan var lanseringen av toppdomänen .eu. Om det hade funnits en funnits en Richterskala för politiska reformer hade ingen av de insatserna gett något större utslag. Men det Viviane Reding föreslog i januari 2012 var rena jordbävningen.

Google har kallat Allmänna dataskyddsförordningen GDPR (General Data Protection Regulation) den viktigaste europeiska lagstiftningen kring medborgarnas privatliv på 20 år. Facebook och andra teknikbolag har skickat plan fulla av lobbyister med destination Bryssel. Målet har varit att om möjligt få EU att späda ut koncentratet av nya rättigheter för privatpersoner i medlemsländerna, och skyldigheter för den som hanterar deras personuppgifter.

Men när förordningen antogs i fjol var den lika potent som när Viviane Reding, en luxemburgsk före detta journalist och sedermera högprofilerad EU-veteran i Bryssel, hade presenterat den fyra år tidigare. Det bolag som inte följer lagen – och förordningen gäller alla bolag som hanterar EU-medborgares data – kan bötfällas med omkring 200 miljoner kronor eller 4 procent av sin totala årsomsättning.

Under ett tal i Tallinn i maj 2012 förklarade Reding att förordningen skulle stärka skyddet för individen, och samtidigt öka konkurrensen på den inre marknaden.

– Dataskydd är en mycket viktig grundläggande rättighet i EU. Skälet till det är vår erfarenhet av diktaturer från både höger och vänster på den politiska skalan ... övervakning av varje rörelse, varje ord och varje privat mejl är inte kompatibelt med Europas grundläggande värden och vår gemensamma tro på ett fritt samhälle.

Nästan exakt ett år senare blev Edward Snowden världens mest kända visselblåsare när han läckte detaljerade uppgifter om det storskaliga amerikanska signalspaningsprogrammet Prism.

Den 13 april 2016 antogs GDPR och Vivane Reding kallade det en ”historisk seger”. Den 25 maj 2018 träder förordningen i kraft och ersätter då, för svensk del, personuppgiftslagen. Nu är det juni 2017, vilket innebär att alla som på något sätt behandlar personuppgifter om EU-medborgare har mindre än ett år på sig att ställa om.

– Intresset för de här bestämmelserna är väldigt stort. Vi får jättemånga frågor och folk vill att vi ska komma ut och prata om detta. Vi har hållit några kurser och de räcker inte riktigt till, men vi gör så mycket vi hinner, säger Elisabeth Jilderyd, jurist och internationell samordnare på Datainspektionen.

Läs mer:

Datainspektionen är svensk tillsynsmyndighet för GDPR. Eventuella överträdelser – eller ”incidenter” som det formellt kallas – ska rapporteras till dem. Datainspektionen kan också bötfälla – officiellt heter det ”administrativa sanktionsavgifter” – den som inte följer förordningens krav.

När Elisabeth Jilderyd och andra sakkunniga vill förklara vad den nya dataskyddsförordningen innebär brukar de börja med att förklara att den i grund och botten är väldigt lik personuppgiftslagen, Pul. Men GDPR har en helt annan tyngd, och omgärdas av ett större allvar.

Låt säga att du som privatperson efter den 25 maj 2018 vill köpa en vara hos en e-handlare. Från och med det datumet måste handlaren klart och tydligt ange vilken information den samlar in om dig, hur dessa data ska användas, hur länge de ska användas och huruvida en tredje part är tänkt att få tillgång till dem.

Du ska inte luras att ge ditt samtycke till något som har gömts undan i det finstilta. Du ska få information om vilka rättigheter du har och vilka möjligheter du har att få datan om dig rättad eller raderad. Rätten att ”glömmas bort”, exempelvis, är inskriven i förordningen.

Detta gäller naturligtvis inte bara e-handlare, utan alla som behandlar data om EU-medborgare, från fåmansföretag till Facebook.

– Det är fler detaljer i GDPR om vilka skyldigheter man har som personuppgiftsansvarig. Det blir en mer omfattande katalog av saker man måste informera om. Förordningen trycker också mer på att den som behandlar personuppgifter har ett eget, aktivt, ansvar att se till att det blir rätt. Att bara luta sig tillbaka och inte göra något går inte, säger Elisabeth Jilderyd.

Det bolag som nonchalerar dataskyddsförordningen riskerar tredubbla konsekvenser. Hanterar företaget data utan samtycke kan Datainspektionen bötfälla. Råkar det dessutom ut för en så kallad ”incident” – att den data de behandlar försvinner, korrumperas eller läcks – kan det utöver sanktionerna bli fråga om skadestånd. Den tredje konsekvensen är att företagets varumärke tar skada om konsumenterna får veta hur deras data hanterats i det tysta.

Vissa bolag – förordningen ger ingen exakt definition – och all offentlig verksamhet måste utse ett dataskyddsombud, vars uppdrag går ut på att samordna det interna dataskyddsarbetet och fungera som en länk mellan företaget och tillsynsmyndigheten.

Om man som enskild misstänker att ett företag eller en myndighet behandlar data utan samtycke kan man rapportera det till Datainspektionen, eller ta kontakt med dataskyddsombudet.

– Även om det inte finns ett dataskyddsombud är företaget skyldigt att ange kontaktuppgifter så att registrerade vet vart man kan vända sig för att utöva sina rättigheter.

Det är bråda dagar för Datainspektionen just nu, liksom för alla som hanterar personuppgifter. På sociala medier förknippas hashtaggen #dataskyddsförordningen med kurser och frukostseminarier. Jurister och it-experter slåss om kunderna. Efter den 25 maj 2018 – drygt sex år efter att Viviane Reding först presenterade reformen – finns ingen återvändo.

– Då gäller reglerna och då har vi en skyldighet att bedriva tillsyn som leder till att förordningens bestämmelser följs, säger Elisabeth Jilderyd.

Prenumerera på Ny Tekniks kostnadsfria nyhetsbrev!