Året är 2016. EU publicerar GDPR, och ger medlemsländerna två år innan förordningen träder i kraft. Emilia Malmberg Larson studerar till jurist och får praktik och sommartjänst på Regeringskansliet vid Ålands landskapsregering, där hon djupdyker i GDPR — eller Dataskyddsförordningen som det heter på ren svenska.
Larson skulle inte kalla det kärlek vid första ögonkastet, men hon fattade starkt tycke för denna, då, nya juridiska organism.
– GDPR handlar om principer som grundar sig i mänskliga rättigheter. Det är en lagstiftning där alla frågor kan lösas genom att gå tillbaka till lagstiftarnas intentioner.
Idag är Emilia Malmberg Larson advokat på den flerfaldigt prisbelönta advokatbyrån Delphi, med globalt topprankade jurister.
GDPR är både lätt och svårt
Å ena sidan är GDPR en omfattande lagstiftning som ställer stora krav på företag och organisationer. Å andra sidan, ser Larson, att det finns en tendens att göra det svårare än det behöver vara.
– Om man inte någonsin tagit tag i persondataskyddsfrågor, kräver det mycket jobb och dokumentation för att få saker på plats.
– Det kan handla om vilket IT-system som man byggt in sig i. Om det är uppbyggt på ett sätt som gör det svårt att ta hänsyn till individers integritet kan det bli kostsamt att ställa om, säger hon. När man väl har lagt grunden finns dock alla möjligheter att arbeta effektivt med frågorna.
– Därför är det viktigt att ansvaret för GDPR-frågorna ligger på en övergripande strategisk nivå. Detta är en ledningsfråga, och inte något som varje avdelning ska hitta enskilda lösningar på.
Larson förklarar att det tillsynsmyndigheterna vill se är att du som företag har system och processer på plats som vaktar kunder och besökares integritet.
Men inget ont som inte har något gott med sig.
– Ofta fastnar företag i kluriga detaljfrågor när de arbetar med GDPR. Då ska man inte glömma att svaret ofta finns i GDPR:s grundläggande principer, säger Larson.
Vilka digitala tjänster får jag som företag använda?
En annan strukturellt utmanande fråga är valet av molntjänster och vilket land som har jurisdiktion över dem. I Sverige har man vant sig vid att använda amerikanska molntjänster. Tagit dem för givna. Men eftersom USA och EU har svårt att få till ett långsiktigt hållbart datadelningsramverk måste svenska företag tänka sig för.
– Det här är en svår fråga. Exempelvis har onlinemarknadsföringstjänster vissa grundproblem som strider mot principerna i GDPR. Bland annat eftersom de samlar in mycket stora mängder personuppgifter som delas mellan många olika parter. Det blir då svårt för enskilda individer att förstå hur personuppgifterna används och vart de delas, förklarar hon.
En av utmaningarna är att som webbplatsägare eller företag försäkra sig om att personuppgifter, från kunder och webbplatsbesökare, bara överförs till tredje land om det inte bryter mot Dataskyddsförordningen.
– Du måste göra en konsekvensbedömning och en så kallad TIA (Transfer Impact Assessment), säger Larson och fortsätter.
– En TIA är en sex-stegs-process som hjälper dig att utvärdera om du kan överföra personuppgifter utanför EU/EES.
Enligt Larson kan det leda till slutsatsen att det går, men enbart om man vidtar vissa tekniska anpassningar av den berörda tjänsten. Till exempel pseudoanonymisering.
– Det här är en bedömning från fall till fall.
Dyrt med sanktionsavgifter
Det har gått mer än fyra år sedan GDPR vann laga kraft, och 6 år sedan Emilia Malmberg Larson började arbeta med den.
En av de lagstiftningar som skärptes genom dataskyddsförordningen var ePrivacy-direktivet, som i Sverige är reglerad i Lagen om elektronisk kommunikation (LEK).
Eprivacy-direktivet kallas också cookie-lagen.
Trots att cookie-lagen funnits sedan 2003 i Sverige, är det först i år (2022) som Post- och telestyrelsen på riktigt börjat granska svenska webbplatser.
Ännu har regelefterlevnaden på ePrivacy-fronten varit låg. En undersökning Cookie Information gjort visar att 89% av de närmare 500 största webbplatserna i Sverige har en cookie-banner, men endast 12 procent håller måttet juridiskt.
Vad får företag att vilja bry sig om onlinemarknadsföring och cookiefrågan?
– Inget företag vill ha sanktionsavgifter. Men jag upplever att många företag inte fokuserar på sanktionsavgifterna utan snarare på risken att få dåligt anseende vid en granskning. Man är rädd för att uppmärksammas i media.
Var är vi om fem år på cookie-fronten?
– Det är svårt att säga. Möjligen har ePrivacy 2.0 (ePrivacy Regulation) från EU klubbats igenom. Nuvarande förslag innehåller sanktionsavgifter likt de som finns enligt GDPR. Det kommer i så fall att göra att fler bryr sig ännu mer.
– Jag tror att företag blir mer angelägna om att ha en snygg och korrekt samtyckeslösning på deras webbplats, som inger förtroende i stället för en flyktig lösning.
– Jag tror också att allt fler kommer att se det som en möjlighet att stärka tilliten till sitt varumärke.
Automatisera cookie-processen
MED EN PLATTFORM* SOM ...
- ... skannar dina webbplatser och appar, regelbundet.
- ... kategoriserar alla cookies.
- ... gör all information om respektive cookie som du använder på din webbplats lättåtkomlig för besökaren.
- ... länkar till respektive tjänsts cookie-policy.
- ... skapar och håller cookie-policyn uppdaterad, regelbundet.
- ... frågar varje besökare om ett ja eller nej till cookies – på ett lagenligt sätt. Respekterar deras svar.
- ... sparar alla samtyckena så du klarar en granskning.
*Cookie Informations Consent Management Platform
PROVA GRATIS I 30 DAGAR
