Ministerrådet och EU:s dataskyddsmyndigheter sätter broms på EU-kommissionens förslag om en ny dataskyddsförordning. Stötestenen är gemensamma regler för hur personuppgifter ska hanteras och möjligheten för företag att bara behöva vända sig till dataskyddsmyndigheten i ett land inom unionen .

EU-kommissionen och med vice ordförande Viviane Reding i spetsen har pressat på hårt för att en ny dataskyddsförordning ska kunna vara på plats innan EU-valet i maj. Så sent som i oktober var hon optimistisk om möjligheterna att få sitt förslag genom både parlament och ministerråd i tid. När hon då besökte Stockholm berättade hon bland annat om hur visselblåsaren Edward Snowdens avslöjanden gett henne bra draghjälp.

– Snowden har hjälpt oss att se att, ja det är viktigt och att ja vi måste göra något, sa hon då.

Efter förra veckans möte mellan unionens justitieministrar var tongångarna från Viviane Reding dock betydligt mer negativa.

– I stället för att röra oss framåt, så har vi rört oss tillbaka. Vi öppnar frågor som vi kom överens om i oktober, sa hon då.

Farhågan är att om beslut förordningen inte tas innan ett nytt parlament i Europa väljs så kommer den att bli kraftigt försenad.

Att Viviane Reding inte lyckats övertyga alla de europeiska ländernas ministrar och dataskyddsmyndigheter om ordningen att det ska räcka för ett företag att ha kontakt med myndigheterna i ett land är tydligt. Irland är kanske det land som är mest positiv till förslaget. Till IDG News säger landets dataskyddskommissionär Billy Hawkes att förslaget om en “one stop shop” är en logisk idé, men att han har blandade känslor inför förslaget.

– Jag ser inte på det med någon större entusiasm eftersom jag måste hantera alla it-företag på Irland, säger han.

Irland är, på grund av skatteskäl, populärt bland amerikanska it-jättar som Apple, Microsoft, Google och Facebook. Med Viviane Redings förslag skulle landet få hantera de bolagens dataskyddsärenden för hela Europa.

Datainspektionens generaldirektör Kristina Svahn Starrsjö är också kritisk till förslaget om att det ska räcka för företag att ha kontakt med dataskyddsmyndigheten i bara ett land.

– Vi har varit kritiska för att vi förstår inte hur det ska fungera i praktiken och hur man ska kunna samarbeta. Vi har flera gånger bett om konkreta exempel på hur det ska fungera med det har inte presenterats några exempel, säger hon till Computer Sweden.

Kristina Svahn Starrsjö är skeptiskt till hur det skulle fungera i relation med andra myndigheter och hur många ärenden varje år som skulle hanteras gemensamt.

– Det är knepigt att till exempel Irlands dataskyddsmyndighet skulle kunna fatta beslut som är bindande för oss. I Sverige är det tveksamt hur det förhåller sig till till exempel regeringsformen.

Kristina Svahn Starrsjö tror att många dataskyddsmyndigheter i Europa är kritiska till förslaget just eftersom det ger den enskilda myndigheten mindre makt.

– Man blir bunden av vad en annan dataskyddsmyndighet som är på samma hierarkiska nivå beslutar.

Caroline Olstedt Carlström är dataskyddschef på betalningstjänsteföretaget Klarna och ordförande i organisationen Forum för dataskydd. Hon tycker att det är synd om EU inte lyckas ersätta dataskyddsdirektivet från 1995.

– När direktivet förhandlades och skrevs i början av 90-talet fanns till exempel inte molntjänster ens i sinnevärlden. Det gör att lagtexterna i de olika länderna som bygger på det gamla direktivet är väldigt, väldigt trubbiga. Vill man ha ett förtroende från de företag som skulle kunna skapa stora mervärden, nya tjänster och arbetstillfällen då måste man också skapa ett regelverk som är mer förutsägbart och som tillåter den här typen av tjänster, säger Caroline Olstedt Carlström.

Hon jämför dagens situation med att behöva pressa en fyrkantig kloss genom ett trekantigt hål.

– Det passar inte riktigt och krävs mycket skohorn får att få ihop kartan med verkligheten. Då blir det lite konstigt.

Sida 1 / 2

Innehållsförteckning

Fakta

  • Den som bryter mot dataskyddsförordningen kan bötfällas med upp till två procent av årsomsättningen.
  • Den som i egenskap av underleverantör hanterar personuppgifter får ett direkt ansvar.
  • Det ska inte längre räcka med ett underförstått samtycke för att en individs data ska kunna behandlas.
  • EU-medborgare ska lättare få tillgång till sina egna uppgifter.
  • Användare ska lättare kunna flytta personuppgifter mellan tjänster.
  • Utslag i ett land gäller även i övriga länder.
  • Rätten att bli bortglömd är att användare ska ha rätt att få sina data raderade.
  • Företag som drabbas av allvarliga dataintrång ska anmäla det till tillsynsmyndigheten inom 24 timmar.