GDPR: Mer stöd till företagen men inga lagändringar

Trots all kritik GDPR mött tycker EU-kommissionen att reformen övergripande är mycket positivt för Europa. Lagstiftningen har givit medborgarna mer kontroll över hur deras personuppgifter används och inga ändringar föreslås i den första utvärderingen av GDPR. Trots svårigheter att tolka och tillämpa GDPR instämmer både Svenskt Näringsliv och BusinessEurope i att en revidering av GDPR efter bara 2 års tillämpning är för tidigt, men det finns många andra åtgärder som behöver vidtas. Bland annat återstår en hel del arbete för att nå harmoniserad tillämpning inom EU, underlätta företagens regelefterlevnad och säkra internationella dataöverföringar. Flertalet av näringslivets framförda förslag finns omhändertagna i de 42 åtgärder som ska utföras av medlemsstaterna, dataskyddsmyndigheterna, europeiska dataskyddsstyrelsen (EDPB) och av kommissionen.

Företag som verkar i flera medlemsstater upplever stor frustration över de olika förhållningssätten till GDPR och kompletterande nationella lagar och regler. Medlemsstaterna och dataskyddsmyndigheterna uppmanas nu att samordna sig bättre och säkerställa korrekt och harmoniserad tillämpning av dataskyddsreglerna. Europeiska dataskyddsstyrelsen (EDPB) uppmanas att ta fram enkla och lättbegripliga vägledningar, vilket företagen länge efterfrågat.

Tillämpningen av GDPR är en utmaning, särskilt för små och medelstora företag (SME). Hanteringen av personuppgifter utgår från en riskbaserad bedömning och därför anser Kommissionen att undantag för SME inte kan göras. Företagsstorlek är inte i sig en indikation på de risker som behandlingen av personuppgifter kan skapa för enskilda personer. Flera dataskyddsmyndigheter har dock tillhandahållit praktiska verktyg för SME. Hjälpen har bestått av mallar för personuppgiftsbiträdesavtal, register för behandling, seminarier och telefonjourer för samråd. Ytterligare hjälpinsatser ska framöver erbjuds av alla dataskyddsmyndigheter på den inre marknaden.

Brexit innebär att dataöverföringar till Storbritannien ska behandlas som överföring till tredje land. Kommissionen har ett pågående arbete med att göra en sin bedömning för att förhoppningsvis kunna ta ett adekvansbeslut som möjliggör laglig överföring likt Privacy Shield med USA och Japan. Kommissionen har också inlett ett arbete med att modernisera sina standardavtalsklausuler (SCC) och eventuella effekter av den kommande domen i Schrems II den 16 juli. Processen för godkännande av Binding Corporate Rules (BCR) ska effektiviseras och arbetet med uppförandekoder och certifieringsmekanismer för dataöverföringar ska slutföras.

Många av förslagen i kommissionens utvärdering överensstämmer med åtgärder och behov beskrivna i rapporten ”Vad är fel med GDPR?”. Svenskt Näringslivs saknar dock två mycket viktiga åtgärder, dels ett initiativ om ett kompletterande EU-regelverk för behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. De internationella reglerna för stävjande av grov brottslighet och korruption måste kunna följas inom Europa och av europeiska företag som exporterar till tredje land. Dessutom efterfrågar näringslivet ett harmoniserat regelverk för regulatoriska sandlådor som möjliggör användning av personuppgifter i stängd miljö för forskning och utveckling. I sin utvärdering anger kommissionen att den ska begära att EDPB utarbetar riktlinjer och yttranden för att uppmuntra forskning, AI och dataanvändning. Frågan är om det räcker för att klara framtidens utmaningar och stärka Europas konkurrenskraft? Ett tydligt harmoniserat regelverk för att möjliggöra innovation har stora fördelar för forskning- och utveckling, start-ups och investerare.