Fem år med GDPR

För fem år sedan blev ”GDPR” plötsligen ett ord som de allra flesta hade hört, till stor del tack vare de otaliga informationstexter och uppmaningar om samtycke som tog över våra inkorgar när företag skulle uppfylla nya krav. Eller, helt nytt var det ju inte – GDPR är en efterföljare till dataskyddsdirektivet, som i Sverige var implementerat genom personuppgiftslagen eller ”PUL”. Däremot inkluderar GDPR mer långtgående korrigerande befogenheter, såsom sanktionsavgifter, vilket fick den stora majoriteten av företag och organisationer att vakna till. Vi som redan då arbetade med dataskyddsfrågor blev snabbt upptagna med att ta fram och implementera GDPR-projekt för att säkerställa regelefterlevnad, artikel för artikel. 

Det har hänt mycket sen dess och GDPR:s femårsdag är ett ypperligt tillfälle att reflektera över de lärdomar och insikter som vi samlat på oss. 

1. ”GDPR-projekt” – det var bara början

Arbetet med regelefterlevnad är inte ett projekt som genomförs och sedan stängs. Efterlevnad av GDPR kräver kontinuerligt förvaltningsarbete som genomsyrar hela organisationen. De olika GDPR-projekten som inleddes mellan 2016 och 2018 ledde i bästa fall till att en grundstruktur togs fram, men sällan till att GDPR implementerades som en del i organisationens dagliga arbete. 

GDPR är inte bara en fråga för juristavdelningen, utan berör i allra högsta grad marknadsavdelningar, produktutveckling och innovation, inköp med flera. Även ledningsgrupper behöver hantera dataskyddsrelaterade frågor allt oftare när affärskritiska beslut ska fattas eller resurser tilldelas. Detta har lett till att många av de större bolagen i Sverige under de senaste åren etablerat privacy-avdelningar, kanske främst hos organisationer där personuppgifter utgör en värdefull tillgång och där rätt hantering utgör en viktig förutsättning för upprätthållet kundförtroende. Därigenom har den interna kompetensen kring GDPR har ökat och därmed möjligheten att nyttja data till dess fulla potential. Å andra sidan visar Integritetsskyddsmyndighetens (IMY) rapport om dataskyddsombudens roll och resurser att utmaningarna med att förankra dataskyddsarbetet i verksamheten fortsatt kvarstår. 

2. GDPR är mer än en compliancefråga och kan ha avgörande strategisk betydelse för verksamheten

Samtidigt som utmaningarna med att nå ut med dataskyddstänket i den dagliga verksamheten kvarstår är det tydligt att ett samspel mellan tillämpning och implementering av GDPR samt verksamheternas affärsutveckling är nödvändigt för att en balans mellan integritetsskyddet och samhälls- eller affärsnyttan som användningen av data möjliggör ska kunna uppnås. För att en affärsidé ska kunna nå sin fulla potential behöver dataskyddet vara en integrerad del redan från början. Till exempel kan valet av leverantör antingen stjälpa eller hjälpa bolaget och användningen av cookies kan kosta mer än det smakar. Är dataskyddstänket en integrerad del av affärsverksamheten kan många av utmaningarna lösas och hanteras. En medveten dataskyddsstrategi kan till och med vara en konkurrensförde

3. GDPR ställer höga krav på tillsynsmyndigheterna 

Tillsynsmyndigheterna, inklusive IMY, ska utöva tillsyn enligt de krav som ställs i GDPR. Detta har i vissa fall har lett till ändringar i tillsynsmyndigheternas arbetssätt och fokusområden. Exempelvis har IMY förändrat sin syn på hur tillsynsverksamheten ska bedrivas och lägger allt större fokus på enskildas klagomål. Denna utveckling förverkligar ett av GDPR:s syften, nämligen att ge de registrerade mer makt och kontroll över sina personuppgifter. Klagomålsbaserad tillsyn innebär att det inte nödvändigtvis är ”de strategiskt viktiga” aktörerna som hamnar under luppen – även om det är just dessa som givit de största rubrikerna – utan en tillsyn är en verklig risk för de allra flesta organisationer. En viktig aspekt är också att sanktionsavgifter bara är en av flera korrigerande åtgärder som tillsynsmyndigheten kan utnyttja – de mest kostsamma konsekvenserna kan i stället vara tillsynsmyndighetens föreläggande att uppnå efterlevnad så väl som renomméskadan som en tillsynsaktivitet kan medföra. 

Tillsynsmyndigheternas verksamhet har också ett tydligt internationellt ben. De olika medlemsstaternas tillsynsmyndigheter samarbetar för att säkerställa enhetlig tillämpning av GDPR inom hela EES, vilket i sin tur har lett till att tillsynsmyndigheterna gärna utmanar varandras beslut i syfte att få igenom sin syn på tolkningsfrågan. En konsekvens av detta samarbete är att många av de internationella tillsynsärendena drar ut på tiden, såsom veckans beslut om rekordsanktioner från den irländska tillsynsmyndigheten mot Meta, som initierades i augusti 2020, illustrerar. 

4. GDPR sätter de enskildas rättigheter i fokus

GDPR har fortsatt utvecklas under de senaste fem åren och rättsutvecklingen bygger på ett starkt fokus på de enskildas rättigheter. Utvecklingen har många gånger lett till en sträng tolkning av regelverket vilket i sin tur lett till vissa kritiska röster mot GDPR som av vissa anses utgöra ett hinder för innovation och EU:s konkurrenskraft. 

Den höga ambitionsnivån riskerar i vissa fall att få motsatt effekt då vissa krav tolkas så strikt att det i princip är omöjligt för organisationer att bedriva sin verksamhet i enlighet med dataskyddsregelverket. Ett exempel av detta är rättspraxisen kring tredjelandsöverföringar. Leverantörer av digitala tjänster som i dagsläget motsvarar europeiska köpares förväntningar är nästintill uteslutande ägda av amerikanska bolag. Om vi bortser från sociala medier där den grundläggande affärsmodellen är något motstridig med dataskyddets grundprinciper, levererar amerikanska bolag såsom Microsoft, Google och Amazon avgörande tekniska infrastrukturer för europeiska bolag med mycket hög nivå av teknisk säkerhet. Ändå är användningen av de amerikanskt ägda leverantörerna alltid en risk ur ett dataskyddsperspektiv trots att det inte är säkert att användningen av leverantörer som är helt baserade inom EES generellt skulle innebära en högre nivå av skydd för de registrerades rättigheter. För att nå en balans mellan de registrerades rättigheter - som självklart ska skyddas och stå i fokus – och förutsättningar för att bedriva konkurrenskraftig verksamhet på den europeiska marknaden, vore ett något mer riskbaserat och pragmatiskt förhållningssätt som tar hänsyn till dataskyddet som helhet välkommet.

5. GDPR är en inspirationskälla till andra regelverk som väntar runt hörnet

Syftet med GDPR är att säkerställa en viss nivå av skydd för personuppgifter men också att möjliggöra ett fritt flöde av dessa uppgifter. Samtidigt är det en riskbaserad lagstiftning som kompletterar annan lagstiftning. De senaste åren har EU pumpat ut lagstiftning i syfte att hinna med den exponentiella tekniska utvecklingen. Sådan lagstiftning ska ofta verka parallellt och tillsammans med GDPR (PSD2, DMA). Annan lagstiftning, såsom ePrivacy-förordningen, dröjer. Det medför viss otydlighet kring hur GDPR samverkar med dessa regelverk i praktiken. 

GDPR ställer också krav när lagstiftning saknas eller inte kommit i kapp. Den italienska dataskyddsmyndigheten hänvisade till exempel till GDPR när det tillfälligt förbjöd ChatGPT på den italienska marknaden och i avsaknaden av en ny ePrivacy-förordning driver GDPR utvecklingen kring hur personuppgifter får behandlas vid kartläggning på nätet. 
I takt med den tekniska utvecklingen som möjliggör användning av data på helt nya nivåer, blir regeldjungeln allt snårigare. D (annata är en värdefull tillgång och med den följer ett stort ansvar för såväl regelefterlevnad som för etiska frågeställningar.  GDPR verkar med sitt riskbaserade förhållningssätt som en förebild, bland annat för förslaget till AI-förordningen. Ett förhållningssätt som är en förutsättning för hållbara lösningar.

Vi på MAQS firar GDPR:s födelsedag genom en gemensam lunch med utbyte av erfarenheter och kompetensöverföring. Vi har cirka 15 engagerade GDPR-experter som är redo att vägleda organisationer genom även de mest svårnavigerade dataskyddsfrågor. Hör gärna av dig när behovet uppstår!