Efter åratal av förhandlingar är den nya dataskyddsförordningen klar. I tisdags kväll kom Europaparlamentet och Europarådet till sist överens om de nya regler som ska stärka skyddet av medborgarnas personuppgifter.
En av de mer spektakulära punkterna är att ett företag som kränker EU-medborgares integritet kan tvingas böta enorma summor.
– I framtiden kan företag som bryter mot EU:s dataskyddsregler bötfällas med upp till fyra procent av sin årliga omsättning – för globala it-företag skulle det kunna innebära miljarder, säger tyske parlamentsledamoten Jan Philipp Albrecht i ett pressmeddelande.
Läs också: Febril aktivitet inom EU för att baxa igenom ny lag om dataskydd
Ansvaret för hur personuppgifter behandlas kommer också att förändras. Idag är företaget som äger kunddatan ansvarig för att den förvaras säkert och behandlas lagligt. Men enligt förordningen kommer också företag som hanterar uppgifterna – analysföretag, molntjänster – få egna skyldigheter.
– Ett exempel är kravet på it-säkerhet. Redan idag måste den som är ansvarig vidta de tekniska åtgäder som krävs för att skydda personuppgifter, men nu kommer även biträden att få en laglig skyldighet att införa sådana, säger David Frydlinger som är ansvarig för it-frågor på advokatbyrån Lindahl.
Den fullständiga versionen av överenskommelsen har i skrivande stund inte släppts, men det delade ansvaret och de strängare straffen kan få effekter för hur många it-företag arbetar de närmaste åren tror Daniel Westman, som är doktorand i rättsinformatik på Stockholm universitet.
– Det blir kanske mer fokus på kvalitet än häftiga, nya tjänster. Det måste verkligen fungera och det måste vara hög säkerhet, annars kan man inte använda det, säger han.
Dataskyddsförordningen väntas klubbas i början av nästa år, därefter tar det två år innan den träder i kraft. Eftersom reglerna för hur personuppgifter får användas, förvaras och överföras kommer att skärpas måste många företag redan nu börja förbereda sig inför den dagen.
Läs också: EU-toppar: ”Nu gör vi om upphovsrätten på nätet”
– Man måste vara ute i god tid när man upphandlar nya system och tjänster för att se till att de uppfyller kraven. Det kan också slå mot vissa företag som har en affärsidé som bygger på personuppgifter, som vissa marknadsföringsföretag, menar Daniel Westman.
För den enskilde medborgaren ska dataskyddsförordningen innebära en starkare integritet, något som ligger i linje med tidigare beslut inom EU. Europadomstolen har redan underkänt bland annat datalagringsdirektivet och safe harbor-principerna för att de var integritetskränkande.
En sak som vi alla kommer att märka av är att informationen om vad ens uppgifter ska används till ska bli mycket tydligare. Idag kan ett företag som vill sälja kunddata gömma en rad om det långt ned i de allmänna villkoren. Men Dataskyddsförordningen kräver ett mycket mer uttryckligt samtycke.
Exakt hur lagen kommer att tillämpas i praktiken återstår att se, men en sak är säker – dagens metoder duger inte.
– Det ställs högre krav för att ett samtycke ska vara giltigt, då räcker det inte att lägga in en rad på sidan 30 att ”förresten vi gör så här med dina personuppgifter”. Det kan, beroende på hur det tillämpas, få stor effekt, säger Daniel Westman.
Läs också: Roamingtaket klubbat – så mycket kostar det att ringa och surfa i EU nästa år
Många av punkterna i förordningen kan bli kostsamma för företag som inte lever upp till kraven. Men David Frydlinger anser att det inte bara är konsumenterna som tjänar på reglerna. I förlängningen kommer de att vara lönsamma även för företagen.
– Många betraktar personuppgiftsfrågor som något nödvändigt ont, men att respektera kundernas integritet har en enorm potentiell uppsida. Värdet av kunddata ökar exponentiellt – se bara på Ica eller Ikea, de sitter på stora mängder data som de analyserar och kan ha väldigt mycket nytta av. Men för att få in den värdefulla datan måste de respektera integriteten och se till att kunden känner sig trygg nog att lämna ut den. På det sättet blir förordningen gynsam för alla, säger David Frydlinger.
