När EU-förordningen GDPR trädde i kraft våren 2018 var syftet att skydda individers personliga data. Men hur har det gått sedan dess? Hur företagen förhållit sig till GDPR och finns det behov av förändring?
"Håll i hatten, för det kommer en uppsjö av ny lagstiftning från EU efter GDPR"
Daniel Westman, oberoende rådgivare och forskare specialiserad på it- och medierätt
Hur har uppstarten fungerat -–följs förordningen?
– Det varierar kraftigt, skulle jag säga. Många organisationer hade anpassat sig till dataskyddet långt innan GDPR och klarade övergången relativt bra, även om få organisationer lever upp till alla krav till punkt och pricka. På andra håll ser det sämre ut. Det är ganska vanligt att företag bara har gjort en anpassning på ytan (informationstexter, policyer med mera), men utan att låta lagstiftningen påverka hur man faktiskt hanterar personuppgifter och utan att ha en fungerande dataskyddsorganisation på plats. Vissa användningar av personuppgifter fortsätter i stor omfattning, trots att de är otillåtna. Det gäller exempelvis delningen av personuppgifter om besökare på webbplatser till tredje parter via script, pixlar och delningsfunktioner.
Är GDPR bra i sin nuvarande form, eller finns det behov av reformering?
– Den grundläggande dataskyddsrättsliga regleringsmodellen är krävande och delvis byråkratisk, men den är med all säkerhet här för att stanna. Detta dels eftersom hoten mot integriteten är stora, dels eftersom den har stort stöd inom EU och även i allt fler länder globalt. Men lagstiftaren måste vara uppmärksam på oönskade negativa effekter, till exempel omotiverade hinder mot att använda personuppgifter för maskininlärning. GDPR skulle även i vissa delar kunna avbyråkratiseras. Jag och en kollega skrev en rapport om detta på uppdrag av Svenskt Näringsliv förra året.
GDPR har pekats ut som en språngbräda för andra kommande regelverk. Vad är det att vänta framöver?
– Ja, proppen har formligen gått ur EU:s lagstiftningsmaskineri! EU-kommissionen har lagt fram en stor mängd förslag om nya regelverk som i vid mening rör digitalisering. Kravet på teknikneutralitet är nu kastat över bord och vi ser ut att få en mängd nya regelverk som tar sikte på specifika fenomen som AI. EU-lagstiftaren drar sig inte heller för att i detalj försöka reglera bort orättvisor på digitala marknader, exempelvis Data Act. Dessa regelverk har inspirerats av GDPR, bland annat när det gäller den globala tillämpningen, de kraftfulla sanktionerna och införandet av nya tillsynsmyndigheter. Men det är viktigt att inte glömma bort att GDPR fortfarande kommer att gälla vid sidan av dessa nya regler. Min bedömning är att GDPR även i framtiden kommer att vara det viktigaste regelverket på området och det som kommer att kräva mest av företagen.
Karin Schurmann, partner/advokat på MAQS och expert på integritets- och dataskyddsfrågor
Hur har uppstarten fungerat – följs förordningen?
– Verksamheter har tagit sig an regelverket med olika ambition, syn på risk och förståelse för vad som krävs för att kunna följa regelverket. Många har kommit långt med etablering av en gedigen dataskyddsorganisation, en tydlig dataskyddsstrategi som är förankrad hos ledning och styrelse, samt inarbetade processer och strukturer för det dagliga arbetet. Andra verksamheter har inte arbetat med frågorna sedan GDPR-projekten genomfördes inför att GDPR skulle börja gälla – och vissa har inte ens påbörjat sitt arbete än idag. För alla verksamheter gör den snabba och omfattande rättsutvecklingen det minst sagt utmanande att hänga med och hålla dokumentation, processer och bedömningar uppdaterade.
Är GDPR bra i sin nuvarande form, eller finns det behov av reformering?
– Det är en både komplex och resurskrävande lagstiftning att förhålla sig till. Även om det i grunden är bra att enskildas rättigheter får ett starkt skydd så kan lagstiftningen ge upphov till oproportionerliga effekter när insatsen för dess efterlevnad ställs mot andra intressen i en verksamhet. Tänkbara reformeringsalternativ skulle kunna vara vissa regellättnader för mindre verksamheter, och/eller lättnader för behandling av personuppgifter för vissa syften.
GDPR har pekats ut som en språngbräda för andra kommande regelverk. Vad är det att vänta framöver?
– EU-lagstiftaren pumpar ur lagstiftning som på olika sätt rör datahantering och som ska gälla parallellt med GDPR. Ett exempel är den nya AI-förordningen som just nu slutförhandlas på EU-nivå – som liksom GDPR bygger på ett riskbaserat förhållningssätt. Att det ständigt, och snabbt, tillkommer ytterligare lagstiftning skapar utmaningar och otydlighet, bland annat kring hur regelverken ska samverka. Detta ställer höga krav på ansvarstagande och proaktivitet, men även på förmågan att än mer balansera olika intressen och risker mot varandra.
Fredrik Norberg, privacy specialist på PwC Legal
Är GDPR bra i sin nuvarande form, eller finns det behov av reformering?
– Implementationen av GDPR var minst sagt tumultartad, en förstärkt skyddslagstiftning med risk för höga sanktionsavgifter i kombination med oklara skyldigheter för organisationer. Efter fem år med lagstiftningen börjar vi bli varma i kläderna, men samtidigt växer nya svåra frågeställningar fram på grund av det här arbetet. Frågor som är svåra att lösa, exempelvis molnlösningar, AI-applikationer, digital infrastruktur och suveränitet samt industrin för digital marknadsföring. Jag vågar påstå att de flesta organisationer idag tar hänsyn till dataskyddsaspekter, men att vi fortfarande har långt kvar att gå i hur vi praktiskt tillämpar regelverket.
Hur har uppstarten fungerat – följs förordningen?
– En sak står helt klart: det finns inget stöd i EU-kommissionen eller EU-parlamentet för en reform av den europeiska dataskyddslagstiftningen. Det finns inte på kartan helt enkelt. Däremot finns det gott om utrymme för förbättring och utveckling av GDPR. Det vi behöver är fler förtydliganden och vägledningar från tillsynsmyndigheterna och fortsatt arbete på harmoniseringen mellan EU-länderna. En återkommande kritik mot GDPR är att den stävjar innovation och digitalisering. Jag skulle däremot säga att kritiken är missvisande då man kan ställa sig frågan om en utveckling som inte respekterar grundläggande fri- och rättigheter, ens är en önskvärd utveckling? Dataskydd för med sig en etisk aspekt som vi måste ta hänsyn till när det kommer till innovation.
GDPR har pekats ut som en språngbräda för andra kommande regelverk. Vad är det att vänta framöver?
– Håll i hatten för det kommer en uppsjö av ny lagstiftning från EU. Just nu förhandlas ePrivacy Regulation som reglerar digital kommunikation över publika nät med särskilt fokus på konfidentialitet i kommunikation, cookies och samtycke för digital marknadsföring. Andra pågående lagstiftningsakter är Data Act (reglerar dataöverföringar mellan B2B, B2C, and B2G och molntjänstleverantörer) samt AI Act (inför stränga regler kring AI system som anses “hög-risk” samt förbjuder vissa applikationer av AI). GDPR är bara ett steg i en längre resa i EU:s digitala strategi som syftar till att stärka vår digitala suveränitet och skapa standarder med ett tydligt fokus på data, teknologi och infrastruktur – eller kort och gott, en hållbar utveckling.
Martin Söderberg, specialist på dataskydd och informationssäkerhet på Sentor.
Är GDPR bra i sin nuvarande form, eller finns det behov av reformering?
– Sett till alla EU:s medlemsstater kan det konstateras att det ser väldigt olika ut. GDPR rör snart vad alla EU-medborgare gör. Sverige, som har en kultur av mycket öppenhet och mindre av regelefterlevnad, har sannolikt haft större utmaningar än många andra medlemsstater att implementera vad som i mångt och mycket är ett nytt sätt att tänka kring integritet. Det sker en gradvis ökning av förståelse och acceptans i företagen, men eftersom GDPR i många delar bygger på riskbedömning och vi alla tenderar att bedöma risk olika kommer efterlevnad alltid vara föremål för diskussion.
Hur har uppstarten fungerat – följs förordningen?
– GDPR behöver konkretiseras. Det görs över tid genom exempelvis vägledningar och rättsfall, och vi som arbetar med GDPR drunknar snart sagt i den våg av nyheter som sköljer över oss dagligen, från alla EU:s medlemsstater. Det är en utmaning men i grunden något bra och med tiden tror jag det kommer bli bra.
GDPR har pekats ut som en språngbräda för andra kommande regelverk. Vad är det att vänta framöver?
– GDPR ingår som en tidig del i EU:s olika paket för en allomfattande och trygg digital vardag för alla EU-medborgare. Just nu arbetar EU med mål för 2030 som innefattar bättre internet, digitala identiteter. Men det vi ser fram emot närmast är AI Act som ska beslutas under 2023 efter ett par år av beredning, samt NIS2 som innebär att många företag kommer att behöva strama åt såväl fysiska som digitala processer innan oktober 2024. Dataskydd och cybersäkerhet fortsätter att närma sig varandra vilket också ställer nya krav på oss som individer och verksamma i Sverige.