GDPR var bara början. Bakom hörnet väntar mer tung lagstiftning inom datadelning och digital utveckling. Behöver man misströsta? Nej, menar Lena Schelin, generaldirektör på Integritetsskyddsmyndigheten, IMY.
Lena Schelin är generaldirektör på IMY. Det som tidigare hette Datainspektionen. En tillsynsmyndighet som har växt från 50 personer till 120, och delat ut ett 20-tal böter i upp till mångmiljonklassen, sedan GDPR tog det stora klivet in i Sverige en fager vårdag 2018.
Att IMY är det svenska hjärtat i allting som rör persondataskydd, är ingen liten biff. För GDPR, eller dataskyddsförordningen som den heter på ren svenska, är navet kring vilket bland annat ett hållbart digitalt samhälle och hur vi delar information på bland annat internet kretsar.
Stanna upp och ta in vidden av det. Ett. Hållbart. Digitalt. Samhälle.
Därför är GDPR viktigt
– Det är vår integritet och våra grundläggande demokratiska rättigheter som vi pratar om ytterst, säger Lena Schelin.
Men varför är de, som hon säger, “så otroligt centrala” och “angelägna att arbeta med just idag”. Hennes svar kan radas upp i två konstaterande och en konklusion:
- Vi har en lagstiftning som tillåter alltmer ingripande metoder mot enskilda i syfte att bekämpa allvarliga brott.
- Vi har en digital utveckling som möjliggör övervakning och spårning på ett tidigare aldrig skådat sätt.
- Konklusion: Ändamålen får aldrig helga medlen, men 1+2 utan grundläggande och långsiktiga etiska överväganden riskerar att skapa ett samhälle där ändamålen visst helgar medlen; oavsett om målen rör sig om ständig teknisk utveckling eller att komma åt bidragsfuskare eller annan brottslighet
– ‘Men jag har ingenting att dölja, mig får man gärna spåra’, kan man höra som argument. Och så är det kanske så länge man lever i en stabil demokrati med hög tillit till staten. Men vad händer om någon ‘annan’ börjar ratta bakom spakarna, om vi skulle få ett annat statsskick som inte har samma drivkraft att upprätthålla våra demokratiska principer, frågar hon retoriskt.
– Vi är som individer idag vana vid en digital verktygslåda med alla möjliga appar, produkter och tjänster. Hela vårt samhälle bygger på det, och vi som medborgare vill ju ha ett modernt samhälle, och då blir det lätt att man blir lite enögd, säger hon och syftar på hur GDPR och ePrivacy ur detta perspektivet betraktas som en bromskloss mot utveckling och framsteg.
Men det är att ställa upp en falsk dikotomi. Lena Schelin understryker att en digital utveckling är önskvärd i allra högsta grad. Det är ju just det.
– En digital utveckling vill – och måste – vi ha, men den ska vara hållbar, nu och för framtiden. Teknikutvecklingen behöver gå hand i hand med ett bra och verkningsfullt arbete kring integritets- och dataskyddsfrågor. Det är helt avgörande.
GDPR är bara början
Dataskyddsförordningen, eller GDPR, är samtidigt bara början i EU:s arbete inom det digitala årtiondet för en utvecklad digital inre marknad, #DigitalEU.
– Den är en grundbult eller en bottenplatta på vilken EU bygger ett stort program som bland annat består av demokratiska principer, områden som behöver utvecklas för att möjliggöra utvecklingen och ett antal nya regelverk, säger Lena Schelin och radar upp AI-förordningen, den digitala tjänsteakten, den digitala marknadsakten och dataförvaltningsakten som exempel på regelverk som nu förhandlas inom EU.
Vad det hela handlar om, säger hon, är att man i Sverige och hos de andra EU- och EES-medlemmarna ska ha en digitalt hållbar marknad.
EU satsar hundratals miljoner euro på den utvecklingsresa som vi just idag lever mitt i. Ett arbete som har sisådär mellan 10–20 års förberedelse på nacken.
– Mycket håller på att falla på plats nu i det som utgör EU:s digitala årtionde, säger generaldirektören.
– Vi ska inte bara ha en fri rörlighet av varor och tjänster utan också en fri rörlighet på den digitala marknaden där data ska kunna flöda fritt, men under kontrollerade former, och företag ska kunna göra business med varandra på ett mycket effektivare sätt.
Vill man som företag eller organisation hänga med i den här utvecklingen har man såldes ingen tid att spara.
– Vi kommer behöva springa ganska fort för att hänga med i tempot och redan nu ta höjd för vad som är på gång.
Ta tag i ditt GDPR-arbete som företag
Det är med andra ord hög tid för de företag som inte tagit ett helhetsgrepp om GDPR att sätta i gång. Men hur ska man göra då? Var ska man börja?
– Det finns ingen quick-fix. Det är det första Lena Schelin säger. Det andra är:
– Detta är en strategisk ledningsfråga.
Och DÄR dog alla läsare.
Skämt åsido. Här är en generaldirektörens råd till dig, förpackad i en 6-stegsraket av undertecknad.
Från "zero" till "hero" i GDPR
- Du förstår nu VARFÖR GDPR är viktigt. Vad själva poängen är. Du äger inte dina kunders, dina anställdas eller webbsidebesökares personliga data. Det är i stora delar bara den enskilda individen som har rätt att fritt disponera sin egen data. Du värnar den enskilde och tar ansvar för att hantera hens uppgifter på ett korrekt sätt. Klappa dig själv på axeln och njut av den insikten. Det är stort.
- Försök därnäst förstå ditt företag som ett system för persondatainsamling. Var finns data, hur kommer den in, hur hanteras och lagras den, vem har åtkomst till den och hur sprids den inom och ut ur ditt företag?
- Klassificera all information. Finns det information som är helt öppen? Är den ok att hantera “öppet”, kan ni skicka och hantera den som ni gör idag? Finns det information som är mycket känslig? Vad behöver du göra för att hantera den på ett rättssäkert sätt?
- Fundera också över vilka digitala tjänster du använder för att hantera såväl operationella data som persondata. Var finns data placerad? Om du till exempel använder tjänster som har sina servrar i USA eller är ett amerikanskt-ägt företag med servrar i Europa, behöver du ha ett avtal som reglerar hanteringen av den data som du placerar hos dem, särskilt om det är persondata. Notera att man måste hålla andan lite här, för det saknas idag ett så kallat adekvansbeslut eller hållbart avtal mellan EU och USA. #bollarnaäriluften Men stirra dig inte blind på USA, frågan är om du använder tjänster utanför EU och EES och ha koll på vilka ytterligare säkerhetsåtgärder du då behöver vidta.
- Se sedan till att få en fungerande struktur för företagets datahantering. Har du en person på ditt företag som arbetar med dataskyddsfrågor. Den personen ska inte vara isolerad från resten av organisationen. Se till att hela verksamheten, alla avdelningar, är ihop-jackade i dataskyddsfrågorna. Dataskydd är en verksamhetsfråga, så se det gärna så. Du vill till varje pris undvika att det finns en IT-avdelning och en utvecklingsavdelning som sitter och utvecklar saker som sedan inte går att använda för att de strider mot regelverket.
Alla ska med: dataskyddsombud, informationssäkerhetsansvarig, verksamhetsutvecklare, ekonomen, juristen, arkivarien. Och så vidare. Se till att allt hänger ihop.
6. Det finns ingen one size fits all. Ditt GDPR arbete är specifikt för din organisation och den persondata som finns i den.
Fråga först om lov – GDPR och cookies
Det är Post och telestyrelsen som har ansvar för cookie-lagen, eller e-Privacy, då den är införlivad i Lagen om elektronisk kommunikation (LEK). Läs mer om PTS och Cookie-lagen här.
Men frågan om insamlandet av data med cookies regleras också i GDPR. Det betyder att myndigheten som Lena Schelin är generaldirektör på också kan titta på cookie-frågor. Men först när det är “för sent”.
– Ja, det gör vi. Vi kan inte tillämpa de regler som gäller enligt LEK, utan det är Post- och telestyrelsen. Så det ursprungliga samtycket kan vi inte granska. Men vi gör däremot en granskning om det också är en överträdelse i enlighet med Dataskyddsförordningen (GDPR).
Så om man samlar in personuppgifter som företag genom sin webbplats utan att fråga om lov på rätt sätt så kollar ni: Vad gör man med dessa uppgifter?
– Precis, och då gäller samma för dessa insamlade uppgifter som för all annan persondata: du måste ha en rättslig grund för att behandla dem enligt dataskyddsreglerna, du måste ha kontroll på dem, ta ansvar för dem, du måste kunna ge den registrerade information om uppgifterna som du behandlar om dom, du måste ha tillräckliga säkerhetsåtgärder för att skydda mot till exempel otillbörligt intrång eller otillbörlig spridning.
