GDPR fyller fem år
Vad har vi lärt oss och vad kan vi förvänta oss i framtiden?
För fem år sedan - den 25 maj 2018 - infördes den europeiska dataskyddsförordningen (GDPR). Målet: Ett förstärkt skydd för personuppgifter, och harmoniserad dataskyddsreglering inom EU.
Med GDPR har enskilda individer fått en större rätt till insyn och kontroll över sina personuppgifter. Kraven har ökat på företag och organisationer att skydda dessa uppgifter enligt konstens alla regler.
En del tänker nog på GDPR som ett skällsord eftersom det inneburit en stor omställning och mycket jobb för många verksamheter. Det är lätt att glömma bort att det i grund och botten handlar om en mänsklig rättighet.
Som en extra bonus kan det faktiskt vara en värdefull investering att satsa på sitt dataskydd, både ur ett kostnads- och ett konkurrensperspektiv.
Vad har vi lärt oss under de senaste fem åren?
De senaste fem åren har vi lärt oss mycket om GDPR, personuppgifter och hur man arbetar med dataskydd på bästa sätt - även om det finns en del kvar att lära.
Några exempel på lärdomar:
- Personuppgifter kan omfatta oerhört mycket. Det är inte alltid man tänker på hur mycket man faktiskt använder personuppgifter i en verksamhet. Att få kontroll över situationen har krävt ett omfattande kartläggningsarbete hos många organisationer - och det är inte bara en engångsinsats, utan ett arbete som behöver fortsätta löpande.
- Att arbeta med dataskyddsfrågor i praktiken tar tid. Det kräver förstås kunskap om lagstiftningen, men också en hel del projektledning och struktur. Bara att sätta upp en fungerande organisation kan vara klurigt.
- Att ha koll på juridiken i teorin är en sak, att tillämpa den på verkliga förhållanden en annan. Svaret på frågan “Är det okej att…?” är sällan ett enkelt ja eller nej. Tvärtom krävs att man är väl insatt i verksamheten och tar sig tid att göra analyser och bedömningar i det enskilda fallet. Det som är lagligt och proportionerligt i ett sammanhang, kanske inte alls är okej i ett annat.
- Det är viktigt att ha koll på de registrerades rättigheter. Att inte hantera exempelvis en begäran om tillgång eller radering korrekt (och i tid) kan leda till klagomål som i sin tur kan leda till tillsyn från dataskyddsmyndigheten. Likaså är det mycket viktigt att säkerställa att de registrerade får den information de har rätt till om hur personuppgifter behandlas. Informationskraven är höga, och här gör tillsynsmyndigheterna ofta nedslag.
- Det är en bra idé att undvika överföringar av personuppgifter till tredjeland, i synnerhet USA, om det går. Detta är ett område som fått väldigt mycket uppmärksamhet under de senaste åren, i synnerhet sedan Schrems II-domen 2020.
Vad har GDPR gett för positiva effekter?
Av en ibland svår och komplicerad omställning har det skapats en del positiva effekter som det kan vara viktigt att påminna om.
Några positiva effekter av GDPR:
- GDPR har haft en positiv inverkan på kunskapsnivån om dataskydd hos allmänheten. GDPR har bidragit till en större förståelse för hur personuppgifter används och hanteras. Individer är nu mer medvetna om sina rättigheter när det gäller personuppgifter och är därmed mer benägna att skydda sin personliga information.
- Dataskydd har kommit att bli en betydande konkurrensfaktor. Kunskapen om dataskyddsfrågor och rättigheter som rör integritet har samtidigt blivit allt större i det allmänna medvetandet. Det gör att intresset och kraven ökar från många håll. För företag och organisationer som tar dataskydd på allvar har GDPR inneburit en möjlighet att stärka sitt förtroende.
- Lagstiftningen har blivit mer konsekvent inom EU. GDPR har även haft en normerande effekt i andra delar av världen och främjat utvecklingen av liknande regler på flera håll.
Vad kan vi förvänta oss i framtiden?
En sak är säker, dataskydd kommer att fortsätta vara relevant och viktigt. På horisonten ser vi just nu flera EU-lagstiftningar som på olika sätt rör digitaliseringsområdet - elektronisk kommunikation, AI med mera. Dataskyddsfrågor aktualiseras i stort sett hela tiden.
Med ett ökat fokus på AI och automatisering kan vi verkligen förvänta oss en fortsatt debatt om balansen mellan dataskydd och innovation. Hur uppnås en balans mellan att skydda personuppgifter och att främja innovation och utveckling av nya teknologier?
I Sverige kan vi konstatera att vår tillsynsmyndighet Integritetsskyddsmyndigheten (IMY) nyligen har fått större budget och därmed kunnat öka upp sin kapacitet. Det är troligt att detta kommer leda till fler tillsynsärenden, vilket ger oss fler exempel på hur dataskyddsreglerna ska tolkas i praktiken i olika sammanhang. Kanske kommer vi också att börja se fler och större sanktionsavgifter vartefter när lagstiftningen inte är så ny längre och man därmed kan förvänta sig mer och ställa högre krav.
Vi kan konstatera att det hänt mycket på fem år och att dataskydd och informationssäkerhet är områden under ständig utveckling.
För löpande omvärldsbevakning och stöd i att följa GDPR har vi utvecklat kompetensstöd - Privacy Expert. Innehållet är skapat i samarbete med dataskyddsexperter och hjälper dig att tillämpa regelverket i er egen verksamhet.