Inom EU pågår arbetet för fullt med att ta fram en förordning som radikalt stärker skyddet för persondata.

Redan 2015 kan förordningen från EU-kommissionen vara lag i Sverige.

Ute i Europa är diskussionen het och lobbyister från företag och intresseorganisationer som ser sina möjligheter att göra affärer förändras radikalt, arbetar för högtryck. I Sverige märks ingen debatt.

– Det är hög tid att vi börjar diskuterar de nya reglerna och vilka konsekvenser de får. Här i Sverige har ytterst få förstått vidden av det här, säger Caroline Olstedt Carlström, dataskyddschef på betalningstjänsteföretaget Klarna.

Förslaget till ny EU-förordning innebär skärpningar av det personliga dataskyddet på en rad punkter.

Vid dataintrång måste till exempel organisationer och företag som hanterar personuppgifter underrätta de nationella tillsynsmyndigheterna inom 24 timmar. Personer ska vidare enkelt få tillgång till sina egna uppgifter och lättare kunna överföra dem från en tjänsteleverantör till en annan.

Personer ska också få lättare att ”bli bortglömda”, det vill säga att få sina uppgifter raderade. Dessutom ska i princip varje organisation som hanterar personuppgifter ha ett dataskyddsombud, med en oberoende ställning inom organisationen.

– All affärsverksamhet med datahantering som bygger på att en person lämnar ifrån sig uppgifter i utbyte mot en nättjänst påverkas. Över huvud taget blir det stora förändringar för många startup-företag vars verksamhet till stor del är datadriven.

Caroline Olstedt Carlström lyfter också fram att förslaget är en EU-förordning och inte ett direktiv.

– En harmonisering av EUs inre marknad blir närmast fiktiv när den baseras på direktiv. När den styrs av förordningar blir regelverket mycket tydligare.

Enligt EUs egna beräkningar tar den nya förordningen om dataskydd att ta bort mycket administration för företag, vilket leder till besparingar på närmare 20 miljarder kronor om året.

Förordningen innebär också att de nationella dataskyddsmyndigheterna, Datainspektionen i Sverige, får en starkare ställning. Vitesnivåerna för dem som bryter mot den nya lagstiftningen är betydligt högre än i dag. Den som bryter mot EUs föreslagna dataskyddsregler kan få böter på upp till nio miljoner kronor eller upp till två procent av årsomsättningen.

De nuvarande EU-reglerna, som ligger till grund för den svenska peronsuppgiftslagen, är från 1995 då en procent av EU-medborgarna använde internet. För att få ökat fokus på sakfrågor kring dataskydd har organisationen Forum för dataskydd bildats och Caroline Olstedt Carlström är ordförande i organisationen.

Fakta

En EU-förordning har allmän giltighet, är till alla delar bindande och i varje medlemsstat. Den kan således åberopas inför en nationell domstol likt en nationell lag, utan krav på att en medlemsstats lagstiftande parlament har beslutat om att införa den. Förordningar utgör därmed den mest kraftfulla typen av unionsakt.

Ett direktiv däremot är bindande med avseende på det resultat som ska uppnås, men överlåter åt de nationella myndigheterna att bestämma tillvägagångssättet för genomförandet. Ett direktiv saknar därför som regel direkt effekt, och kan inte åberopas inför en nationell domstol likt en nationell lag.

  • Företag och organisationer som hanterar personuppgifter måste tillsätta ett oberoende dataskyddsombud.
  • Individen måste ge sitt samtycke till att ens uppgifter lagras och hanteras.
  • Individer ska lättare få tillgång till sina egna uppgifter.
  • Individer ska lättare kunna överföra sina personuppgifter från en tjänsteleverantör till en annan – rätt till dataportabilitet.
  • De oberoende nationella dataskyddsmyndigheterna, som Datainspektionen i Sverige, ska stärkas.
  • Individen ska ha ”rätt att bli bortglömd”, få sina data raderade.
  • Företag och organisationer som drabbas av allvarliga dataintrång ska anmäla detta till tillsynsmyndigheten inom 24 timmar.
  • Myndigheten har rätt att bötfälla den som bryter mot dataskyddsförordningen med en miljon euro, eller upp till två procent av årsomsättningen.