Är det säkert att den nya förordningen kommer att klubbas i slutet av året som planerat?
– Nej, det är oklart. Men planen är fortfarande att EU:s organ ska ta beslutet om en ny dataskyddsförordning då. När beslutet väl är taget har länderna två år på sig att införliva det i sin lagstiftning.
Varför vill man göra ändringar i dataskyddet?
– I dag ser lagstftningen olika ut i olika länder, i Sverige har vi personuppgiftslagen, pul, men nu vill man skapa gemensamma regler i hela EU. Det finns flera skäl till det. Ett är att det underlättar för företagen som slipper hålla koll på olika regler, exempelvis vilka rutiner som gäller för lagring av kunddata i olika länder, som de behöver göra i dag. Ett annat skäl är att stärka skyddet för individen – något som hamnat i fokus efter avslöjandena om den amerikanska underrättelsetjänsten NSA:s omfattande övervakning.
Blir det stora förändringar?
– Ja, det blir betydligt tuffare regler. Den allra största skillnaden är de stora sanktioner som föreslås. Ett företag som bryter mot reglerna ska kunna få böter på upp till fem procent av företagets omsättning. Utöver det kan det också bli skadestånd till den som drabbats. En annan skillnad för Sveriges del är att det inte längre handlar om att prova sig fram. När något företag eller någon myndighet gjort fel har Datainspektionen sagt ifrån och så har de fått rätta till det. Nu finns inte den respiten på samma sätt – det ska vara rätt från början. I och med att mer ansvar läggs på företag och myndigheter kommer också kravet på att alla organisationer över en viss storlek har ett uppgiftsskyddsombud. Dessutom blir de skyldiga att informera om de råkar ut för dataläckor.
Är det Datainspektionen som beslutar eller domstol?
– Datainspektionen fattar fortfarande beslut men precis som i dag kan det överklagas och hamna i domstol. Med tanke på de höga böterna så lär vi få se betydligt fler överklaganden än i dag och fler rättsliga processer.
Kommer allt att vara definierat i detalj?
– Nej, en hel del kommer att definieras i praxis efter domstolsprövningar. Som exakta tider som kunddata kan lagras i olika verksamheter exempelvis.
Många företag arbetar mycket med kunddata och personliga erbjudanden – kommer de att få det besvärligare nu?
– Ja. Min uppfattning är att många företag redan i dag bryter mot lagen, till exempel genom att inte gallra kunddata så ofta som de borde. Men med de nya sanktionerna blir det en oerhörd risk att inte göra det. Dessutom ska de se till att alla it-system är anpassade för de nya reglerna.
Innehållsförteckning
Att bygga in integritetsskyddet i it-systemet, så kallad privacy by design, rekommenderas redan i dag av Datainspektionen. Men om förslaget till ny dataskyddslag går igenom blir det obligatoriskt.
För företag, myndigheter och organisationer gäller då att:
- Ta hänsyn till integritets- och säkerhetsaspekter redan vid planering av it-system.
- System ska ha vissa grundinställningar, så kallad privacy by default, som är anpassade till lagkraven.
- Kravet omfattar också leverantörerna av it-system.
- Inbyggd integritet blir också en förutsättning vid offentlig upphandling.
Viktigt att göra i it-systemen:
- Enbart behandla de personuppgifter som är nödvändiga för varje specifikt ändamål.
- Uppgifter ska inte lagras längre än den minimiperiod som är tillåten för just det ändamålet.
- Se till att en användare kan se hur uppgifterna används och få dem utlämnade.
- Se till att infrastrukturen möjliggör tillgång till, korrigering och radering av personuppgifter.
