En ny fas för dataskyddet
Krönika för Karnov Nyheter (februari 2019)
För två år sedan skrev jag en krönika för Karnov Nyheter som handlade om dataskyddslagstiftningens växande betydelse. Det var då 16 månader kvar till att dataskyddsförordningen (GDPR) skulle börja tillämpas. I efterhand kan det konstateras att det blev en hektisk tid.
Många personuppgiftsansvariga (företag, myndigheter, föreningar etc.) lade ned stora resurser på att inventera sin personuppgiftsbehandling, göra rättsliga analyser, dokumentera, ta fram informationstexter, införa nya rutiner och inrätta en dataskyddsorganisation.
Även personuppgiftsbiträden, som behandlar personuppgifter för personuppgiftsansvarigas räkning, såg om sitt hus, framför allt i relationen till kraven på säkerhet och de s.k. personuppgiftsbiträdesavtalen som de ska teckna med sin uppdragsgivare.
Konsulter av olika slag fick bråda dagar. Det gällde förstås i första hand juridiska konsulter, men managementkonsulter, revisorer, IT-säkerhetskonsulter m.fl. såg också en möjlighet att sälja sina tjänster med hänvisning till dataskyddsförordningen. Inom legaltech finns numer också flera aktörer som erbjuder tjänster som är inriktade mot dataskydd.
Trots att det handlar om en direkt gällande EU-förordning krävdes stora insatser av lagstiftningsmaskineriet. En generellt tillämplig kompletterande dataskyddslag togs fram och den omfattande svenska specialregleringen av vissa personuppgiftsbehandlingar sågs över. Till detta kan läggas ett omfattande arbete med att genomföra det nya dataskyddsdirektivet som rör det straffrättsliga området.
Sist, men inte minst, Datainspektionen. Myndigheten fick under förra året en ny generaldirektör och många nya medarbetare, men framför allt ett nytt regelverk att förhålla sig till och med det många nya arbetsuppgifter, t.ex. att ta emot rapportering om personuppgiftsincidenter och att samarbeta närmare med andra europeiska tillsynsmyndigheter.
Den 25 maj förra året blev ett crescendo, med stor uppmärksamhet i media. Alla mejl som personuppgiftsansvariga skickade ut gjorde att ingen längre kunde undgå att det fanns något som hette ”G-D-P-R”!
Det senaste dryga halvåret har varit betydligt lugnare. I många organisationer har dataskyddet fått minskad uppmärksamhet. Dataskyddsprojekt har stängts. En del av de nya konsulterna har fått mindre att göra och dragit vidare till andra områden.
Ibland hör man jämförelser mellan GDPR och den s.k. milleniebuggen. Det hände inte så mycket den 25 maj 2018, nu är frågan ur världen och antagligen var mycket av förberedelsearbetet som utfördes onödigt.
Men att dataskyddets glansdagar redan skulle vara förbi är med största säkerhet en felbedömning. Tvärtom talar mycket för att skyddet för personuppgifter kommer att få en allt större betydelse och att det kommer att innebära utmaningar för befintliga och framtida verksamheter. På sikt kan befintliga affärsmodeller och arbetssätt på vissa områden behöva ändras. Ny särlagstiftning kan behövas för att balansera de intressen som är förknippade med nya tekniska fenomen som artificiell intelligens.
Låt mig nämna några omständigheter som talar emot liknelsen med milleniebuggen.
Skyddet för personuppgifter är en grundläggande rättighet enligt EU:s rättighetsstadga och EU-domstolen har i en rad domar givit detta skydd en strikt tolkning. Det finns alltså en stark och stabil normativ grund för dataskyddet.
Dataskyddsförordningens kraftfulla sanktionsavgifter har nu börjat tillämpats. Än så länge bara av tillsynsmyndigheter i andra länder och överklagande lär naturligtvis ske, men allt talar för att åtminstone omfattande och återkommande överträdelser kommer att bestraffas hårt.
På senare tid har det dessutom hörts ett allt större ifrågasättande av affärsmodeller som bygger på att personuppgifter uppfattas som en ekonomisk resurs. Diskussionen rör inte bara dataskyddslagstiftningen, utan handlar lika mycket om etik och demokrati. Än så länge förs debatten i relativt snäva kretsar, men vi vet att medborgarnas inställning till digitala fenomen kan skifta snabbt när ett visst synsätt får genomslag.
Internationellt ökar intresset för dataskyddslagstiftningen. Redan innan dataskyddsförordningen antagits hade över 120 stater en dataskyddslagstiftning, många av dessa har nu påbörjat arbetet med att anpassa lagstiftningen till dataskyddsförordningens skyddsnivå. Det mest intressanta är kanske att staten Kalifornien har antagit en lag som har inspirerats mycket av förordningen. USA har som bekant länge stått utan en heltäckande dataskyddslagstiftning för den privata sektorn, men nu diskuteras en sådan på allvar även på federal nivå.
Det som krävs nu är att dataskyddsarbetet går in i en mer djupgående fas. Fördjupningen kan ta sig en mängd olika uttryck, men låt mig ge några exempel.
Många organisationer har genomfört en relativt ytlig anpassning till dataskyddsförordningen. Inte sällan har personuppgiftsbehandlingen inventerats och beskrivits, samtidigt som mer grundläggande förändringsbehov har ignorerats. Exempelvis har informationsutbyten mellan organisationer ibland beskrivits som en personuppgiftsbiträdesrelation, trots att det i själva verket handlar om ett utlämnande, dvs. en behandling, av personuppgifter från en personuppgiftsansvarig till en annan som t.ex. måste prövas enligt de materiella behandlingsreglerna. Datainspektionen har nyligen inlett en granskning just av personuppgiftsansvaret och gränserna till biträdesrollen.
Att ha genomfört ett GDPR-projekt är naturligtvis positivt, men att bygga en fungerande dataskyddskultur i en organisation är något annat. För det krävs kunskap, resurser och uppbackning från ledningen. Personuppgiftsbehandling är inte en separat företeelse, utan en integrerad del av den övriga verksamheten. Att få de som arbetar med verksamheten att ta ansvar även för dataskyddsfrågorna – givetvis med stöd från specialister – bör därför vara målet. Här kan t.ex. noteras att dataskyddsförordningen kräver att dataskyddet ska byggas in i tekniska och organisatoriska lösningar. Den operativa verksamheten bör i många fall kompletteras med ett dataskyddsombud som ger råd och granskar dataskyddsarbetet. Med ett systematiskt arbete kan dataskyddet gå från läpparnas bekännelse till reellt genomslag.
I vissa fall innebär ett sådant genomslag att verksamheter och affärsmodeller måste förändras på ett djupgående sätt. Det krävs i dessa fall en fördjupad dialog mellan dataskyddsexperter och de som ansvarar för verksamheten i olika hänseenden. Ett område som jag har arbetat en hel del med under senare år är beteendestyrd online-annonsering. Många organisationer har – ofta utan att förstå den fulla vidden själva – lagt in s.k. pixlar och skript på sin webbplats som samlar in uppgifter om besökarna och skickar dessa till olika typer av tjänsteleverantörer. Att en organisation som använder teknik av detta slag är personuppgiftsansvarig, åtminstone för insamlingen och delningen av uppgifterna, är enligt min mening klart. En närmare analys av den insamling och delning av besökarnas personuppgifter som äger rum inom ramen för många av dagens tjänster visar att organisationen står inför stora utmaningar. Min bedömning är att en stor del av den behandling av personuppgifter som idag pågår inom den beteendestyrda annonseringen inte låter sig förenas med dataskyddsförordningens krav.
Ett fördjupat förhållningssätt till dataskyddet ställer även krav på balanserade tolkningar. Skyddet för personuppgifter utgör en grundläggande rättighet i EU-rätten och dataskyddsförordningen uppställer strikta krav för när personuppgifter får behandlas och på skyddande åtgärder. Men det måste också beakta att skyddet inte är absolut och att det ofta måste vägas mot andra grundläggande rättigheter och viktiga samhällsintressen. EU-domstolen har i sin praxis slagit vakt om ett starkt skydd för personuppgifter, men samtidigt, t.ex. i relation till ny teknik, gjort tolkningar som syftar till att skapa en rimlig balans. Ett exempel på en sådan balanspunkt är förhållandet mellan dataskyddet och yttrandefriheten.
Även i den offentliga sektorn krävs ett fördjupat dataskyddsarbete. Såväl vid tillämpningen av det gällande regelverket som i samband med rättsliga reformer finns det ett behov av att ta ett helhetsgrepp över och bättre sammanjämka olika regleringar som påverka behandlingen av information. Idag ligger regleringen av olika typer av informationsobjekt (allmänna handlingar, personuppgifter etc.) och olika typer av behandlingar (arkivering, behandling av personuppgifter etc.) i ”lager” på varandra. Eventuella normkonflikter hanteras normalt genom att den ena regleringen ges företräde, dvs. bestämmelser i den andra regleringen tillämpas inte alls. Detta leder till ”tröskeleffekter” och att funktionellt likvärdiga situationer behandlas på skilda sätt. Ett sådant exempel är den i decennier diskuterade och utredda frågan om utlämnande av allmänna handlingar i elektronisk form.
Ett område som kräver fördjupad rättslig analys, etiska diskussioner och eventuellt ny lagstiftning är artificiell intelligens (AI). I dataskyddsrättsligt hänseende aktualiserar AI dels frågor om användning av personuppgifter för maskininlärning och skapande av nya algoritmer, dels frågor om användning av AI för att behandla personuppgifter, t.ex. skapa profiler eller fatta automatiserade beslut. Det finns en stor positiv potential i AI, men ofta krävs relativt integritetskänsliga personuppgiftsbehandlingar för att frigöra denna potential och det finns risker för misstag och fel, t.ex. diskriminering, som kan drabba enskilda. Det är därför viktigt att hitta en balanserad tillämpning av dataskyddslagstiftningen på personuppgiftsbehandlingar som knyter an till AI. I vissa fall kan det komma att krävas särreglering för att skapa rätt balans mellan möjligheter och risker.
För den som är intresserad av dataskydd bortom ”checkbox compliance” ser framtiden ljus ut!