Nu går EU-kommissionen ut med en bred uppmaning till sina medlemsländer och deras lagstiftare och verksamheter att skynda på med anpassningen till den nya dataskyddsförordningen GDPR.
EU uttrycker oro för att det är för många, både medlemsstater och framför allt mindre företag, som ligger efter i arbetet. Hittills är det till exempel bara Tyskland och Österrike av de 28 medlemsstaterna som anpassat sin nationella lagstiftning efter EU-lagen.
Sverige är alltså ett av länderna som behöver lägga på ett kol. David Frydlinger, advokat och ansvarig för information and communication technology på advokatfirman Lindahl säger att det pågår ett massivt arbete på Justitiedepartementet och andra berörda instanser för att hinna ändra och anpassa regelverken till GDPR.
– Det är ju 50 till 100 olika lagar som berörs på olika sätt av GDPR, och som därför måste ändras och anpassas. Dessutom är GDPR inte helt uttömmande, vilket gör att det behövs kompletterande lagstiftning. Bland annat behövs en ny svensk dataskyddslag.
Kommer de hinna klart i tid?
– Jag skulle tro att Justitiedepartementet hinner klart med dataskyddslagen, men att allt skulle hinna bli klart tror jag är uteslutet.
Läs mer: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Det är i en skrivelse till EU-parlamentet som Kommissionen höjer tonläget rejält till egentligen alla aktörer. Bland annat står det att läsa: ”Kommissionen uppmanar alla berörda aktörer att intensifiera det pågående arbetet för att säkerställa en konsekvent tillämpning och tolkning av de nya reglerna inom EU och att öka medvetenheten mellan företag och medborgare”.
Men att olika svenska lagar måste anpassas efter EUs nya dataskyddsförordning är bara den ena delen. Därtill kommer naturligtvis alla företag och myndigheter som också måste anpassa sina verksamheter efter den här lagen.
EU verkar mest bekymrade över läget hos de mindre och medelstora företagen.
”Förberedelserna går framåt i olika hastighet i olika medlemsstater och bland olika aktörer. Därutöver är inte kunskapen om fördelarna och möjligheterna som följer med de nya reglerna jämnt spridda. I synnerhet finns ett behov av att öka medvetenheten hos mindre och medelstora bolag”.
I Storbritannien har det gjorts en undersökning som visar att bara hälften av organisationerna med färre än 50 anställda överhuvudtaget har hört talas om de nya reglerna, skriver nyhetssajten The Register.
– Jag skulle inte bli förvånad om det ser likadant ut i Sverige, säger David Frydlinger. Det är många som inte har en chans att hinna i tid.
Vad ska då företag eller myndigheter göra om de inser att de inte hinner i tid?
– Jag får ofta den frågan. ”Om vi inte hinner klart i tid, kan vi hävda att vi har en plan för hur vi ska gå till väga och på så sätt undvika böter?”. Nja, reglerna säger att det är den 25 maj som gäller och är man inte klar då så bryter man mot det.
– Vad man kan göra är att identifiera större risker, till exempel kopplat till känsliga personuppgifter, och snabbt prioritera arbetet med dessa. Det tror jag kommer att beaktas.
Läs mer: Nya lagar sätter press på företagen – svettigt 2018 för it-juridiken
Det är med en blandning av piskor och morötter som EU-kommissionen kommer att arbeta gentemot medlemsstaterna nu. De skriver bland annat att de noggrant ska följa hur implementeringen av GDRP går i de olika länderna och att de ska vidta nödvändiga åtgärder för att inga ska hamna efter - och de kommer att använda alla verktyg de har till sitt förfogande, bland annat överträdelseförfarande. Men de kommer också vara med och finansiera olika projekt som syftar till att öka medvetandet om dataskyddsfrågor, uppger de i den här skrivelsen.
Därtill har EU lanserat en ny webbplats med verktyg och information som både ska kunna hjälpa och skynda på arbetet.
