Staten brottas med GDPR: "Mycket är oklart"

Med GDPR ska reglerna bli bättre anpassade till dagens samhälle där personuppgifter samlas in, används och sprids i betydligt större utsträckning än på 1990-talet då EU:S dataskyddsdirektiv togs fram och som ligger till grund för PUL. Det berättar Martin Brinnen, jurist på Datainspektionen med inriktning mot integritet och yttrandefrihet och som föreläser om och håller utbildningar på temat GDPR.

– Ett viktigt syfte är att skapa ett mer enhetligt regelverk mellan medlemsstaterna för att underlätta för företag att agera på den interna marknaden i EU, säger Martin Brinnen till Realtid.se.

Harmoniseringen är därmed en viktigt nyhet för företagen, enligt Brinnen. På sikt bör GDPR leda till att blir enklare att göra affärer inom EU, tror han. Samtidigt påminner den nya lagtexten myket om PUL. Det handlar om att följa de grundläggande principerna kring exempelvis uppgiftsminimering och att de registrerades rätt till att ta del av information måste respekteras.

– Sen finns det några nyheter bland annat rätten till dataportabilitet, skyldigheten att anmäla säkerhetsincidenter till Datainspektionen och att man måste göra konsekvensbedömningar vid mer integritetskänslig behandling, säger Martin Brinnen.

Han välkomnar GDPR men önskar att lagen var tydligare och att den gav mer vägledning.

– GDPR är inte som svensk lagstiftning som ofta är mer genomtänkt och där man hittar vägledning i förarbeten. Men som med alla EU-regler är de resultatet av förhandlingar och innehåller flera kompromisser.

Dryga böter

De som inte följer GDPR kan påföras böter på som mest 4 procent av den globala omsättningen eller 20 miljoner euro. Men en mängd faktorer ska vägas in i bedömningen.

– Avgifterna ska vara effektiva, proportionerliga och avskräckande. De innebär att de kan anpassas till bland annat överträdelsens karaktär och hur den personuppgiftsansvarige har agerat före och efter överträdelsen. Om man har gjort ett bra förberedelsearbete, de nödvändiga bedömningarna, dokumenterat dessa, respekterat de registrerades rättigheter och samarbetar med tillsynsmyndigheten minskar man risken för avgifter, eller i vart fall några högre belopp, säger Martin Brinnen.

Hur förberedda är svenska bolag och myndigheter på GDPR?

– Det är svårt att säga. Datainspektionen gör inga undersökningar på detta ämne. Vi har dock noterat att det finns en stor uppmärksamhet kring integritetsfrågor just nu. Det är kanske svårast för de mindre företagen som inte har resurser att avsätta för förberedelserna.

Datainspektionen har tagit fram en checklista som kan användas för förberedelser och planläggning inför GDPR:s införande 25 maj nästa år. Samtidigt är GDPR-arbetet ett ständigt pågående arbete, betonar Brinnen. Han rekommenderar berörda aktörer att skapa en enhet med ansvar för exempelvis integritetsfrågorna i lagtexten som kan vara snårig.

Datainspektionen har rustat för GDPR under flera år, då förordningen innebär många nya och omfattande uppgifter för myndigheten. Antalet ärenden väntas troligen öka betydligt, enligt Brinnen. Myndigheten ser därför över sitt it-stöd, sin kompetens, personal och organisation.

Förordningen kräver också ett kraftigt utbyggt samarbete mellan dataskyddsmyndigheterna i EU, vilket också involverar Datainspektionen. 

– Ett problem är att så mycket är oklart och att många av arbetsuppgifter kräver nationell lagstiftning som ännu inte finns på plats. Utöver dataskyddsförordningen finns det förslag på ytterligare arbetsuppgifter som Datainspektionen ska få, bland annat när det gäller kamerabevakning.

Har ni tillräckligt med resurser för att kontrollera GDPR-efterlevnad?

– Datainspektionen har fått ökade anslag men kommer troligen behöva ytterligare medel för att klara av alla arbetsuppgifter som föreslås.