Dags att se över GDPR – företagen vill se utvärdering

Ur ett marknadsperspektiv bör regleringar vara tillämpbara, tydliga, proportionerliga och ge konkurrens på lika villkor. Men när företag tillfrågas om de följer GDPR är det bara 40 procent av de mindre som säger att de klarar efterlevnaden. I de stora företagen är siffran 87 procent enligt en undersökning från Statistiska Centralbyrån på uppdrag av Entreprenörskapsforum.

Färre säger att de har tillräcklig kunskap om dataskydd, 37–84 procent. När Integritetsskyddsmyndigheten, IMY, frågar dataskyddsombuden säger de att efterlevnaden är cirka 46 procent bland de anställda. Hur kommer det sig att siffrorna efter fem år inte är högre och vad behöver göras för att dataekonomin och den digitala omställningen ska bli framgångsrik?

Flera åtgärdsförslag presenteras i skriften Vad är fortfarande fel på GDPR? och vid ett seminarium på Svenskt Näringslivs Brysselkontor diskuterades ytterligare förslag inför den kommande utvärderingen av GDPR 2024.

GDPR bygger på två pelare, förklarade Helena Silling, Head of Global Legal Data & Privacy på Securitas. Det första är att stärka skyddet och kontrollen för enskilda i en alltmer digitaliserad värld. Det andra är att skapa och underlätta dataflödet inom EU/EES för att stärka innovation och konkurrens. Världen är dock komplex och de två är inte alltid lätta att uppnå lika, sa hon. Individer vill ha produkter och tjänster som hjälper dem i deras dagliga liv och många tjänster och produkter behandlar endast identifieringsuppgifter eller kontaktuppgifter. GDPR-kraven är desamma oavsett vilken personuppgift som behandlas.

Men det finns lösningar för att på ett mer balanserat sätt ta hänsyn till förordningens grund och kärna. Ett företag måste alltid prioritera hanteringen av de personuppgifter som behandlas, syftet med behandlingen inom tjänster och produkter, identifiering av risker för individers rättigheter och friheter. För att uppnå transparens och ge individen kontroll måste integritetsaspekter byggas in och beaktas som en del av upphandling, utveckling och förändring. Det görs genom Privacy by design.

Mer alarmerande är den omfattande administrationen och byråkratin. Detaljkraven är lika för alla behandlingsaktiviteter, även när den är ofarlig till sin natur. Bristen på utrymme för en riskbaserad bedömning är varken proportionerlig eller acceptabel. Inte minst arbetet för att genomföra tredjelandsöverföringar äter resurser. Finns det vanligtvis faktisk skada kopplad till att affärskontaktuppgifter överförs till eller nås från till exempel USA? frågade Helena Silling. Hon bad också om en lista för tillåtna databehandlingar i förhållande till syfte och typer av data.

En annan fråga är vad som hände med det fria flödet av personuppgifter för att möjliggöra innovation inom EU? Att ställa krav på utfallet av databehandling i stället för varje behandling skulle möjliggöra analys av stora dataset, med begränsad skada för enskilda, tror Helena Silling.

Svetlana Stoilova, rådgivare vid avdelningen för den inre marknaden, BusinessEurope, betonade att GDPR är nödvändig och att ingen av den konstruktiva kritik som BusinessEurope uttrycker bör förstås som ett ifrågasättande av GDPR:s existens. Dataekonomin måste erbjuda medborgarna skydd samtidigt som företagen kan möjliggöra stora tekniksprång. Kommissionen bör se över i vilken utsträckning tillämpningen av GDPR indirekt hämmar användningen av viss teknik och för att uppnå teknikneutralitet tillhandahålla lösningar på hur innovation faktiskt kan frodas.

Fem år senare håller företag fortfarande på att ta reda på möjligheterna och gränserna för GDPR. Det är en förordning som balanserar rätten till uppgiftsskydd med de andra rättigheterna och friheterna i stadgan. Vi får inte glömma att näringsfriheten också är inskriven i stadgan.

Det är därför GDPR-diskussionen är tvåfaldig. Den ena sidan handlar om hur träffsäker och rimlig GDPR är formulerad med tanke på de utmaningar som företag har ställts inför under de senaste åren för att följa förordningen. Den andra sidan är vad som borde ingå i kommissionens kommande utvärdering 2024 av GDPR.

Personuppgiftsskydd och att göra affärer utesluter inte varandra. Den senaste globala Förtroenderapporten från Edelman visar återigen att företagen är mest betrodda, följt av icke-statliga organisationer och regeringar. Det visar att företag bär ett ganska tungt ansvar inför sina kunder. Företag är framgångsrika eftersom de har kunder som köper deras produkter eller tjänster. Företagen kommer att konkurrera om att ha en bättre produkt eller tjänst och om att ge värde till kunderna inom ramen för lagen. Av denna anledning måste regler som GDPR verkställas på ett sätt som stöder affärsmiljön, för att göra det möjligt för företag att växa och inte hindra dem.

Alltför strikta tolkningar av GDPR i kombination med höga böter kan leda till att ta det säkra före det osäkra-inställning till GDPR, vilket för med sig förlorade möjligheter, bromsad tillväxt och konkurrenskraft. Små och medelstora företag ber till exempel om samtycke för att få använda uppgifter, även om det inte är nödvändigt. Övernitiska åtgärder från företag är inte endast orsakade av rädsla för höga sanktionsavgifter och dålig publicitet utan också för att det ofta tar lång tid att ta reda på ett svar om vad som faktiskt gäller enligt dataskyddsreglerna.

I utvärderingen av GDPR behöver kommissionen genomlysa kostnaden för efterlevnad, både den initiala kostnaden när du skapar en konsumentinriktad tjänst eller en produkt, och den fortsatta efterlevnadskostnaden när rättigheter utövas.

BusinessEurope strävar efter att upprätthålla GDPR som en viktig standard för integritetsskydd. Samtidigt behöver vi erkänna att Europas betungande regelverk begränsar potentialen att leda den utvecklingen av framtida strategisk teknik, såsom artificiell intelligens (AI) eller blockkedjeteknik, särskilt om de tillämpas på ett formalistiskt snarare än strategiskt sätt.

En annan faktor som behöver utvärderas av kommissionen är hur den fria rörligheten och begränsningarna av rörligheten för personuppgifter ser ut. I artikel 1 i GDPR står det att ”det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandling av personuppgifter.” Så blev det inte i praktiken.

I allmänhet ska små och medelstora företag inte vara skyldiga att föra register över personuppgiftsbehandling, såvida inte behandlingen inte är tillfällig, eller inbegriper en särskild kategori av uppgifter eller kan leda till risk för rättigheter och friheter.

Vagheten i ”behandlingen är inte tillfällig” leder dock till att de mindre företagen i praktiken inkluderas i bestämmelsen. Detta exempel visar på att större tydlighet behövs och bör behandlas i utvärderingen, avslutade Svetlana Stoilova.

GDPR måste ses i ljuset av det regelverk vi har och det finns en hög medvetenhet om GDPR. Det är också en dataskyddsmodell som exporteras till andra länder, säger Olivier Micol, chef för enheten för dataskydd, generaldirektoratet för rättsliga frågor och konsumentfrågor, Europeiska kommissionen.

När det gäller huruvida integritetsskydd inte är en absolut rättighet påpekade Olivier Micol att det är en debatterad fråga och att det pågår en diskussion om vilka rättigheter som väger tyngst. Europeiska unionens domstol, EUCJ, lägger fram preliminära beslut som är viktiga för att få klargöranden. De nya reglerna som till exempel lagen om digitala tjänster, lagen om digitala marknader, datatakten och AI-akten använder GDPR som verktyg. I vissa fall begränsar andra förordningar en eller flera rättsliga grunder i GDPR, men de ändrar inte GDPR, poängterade Olivier Micol.

När det gäller behovet av guider – det finns inget annat ramverk som har fler riktlinjer än GDPR, sa Olivier Micol. Europeiska dataskyddsstyrelsen och kommissionen har dock arbetat med att utveckla tolkningen och verkställigheten för de verkställande myndigheterna. En ny guide om anonymiseringstekniker och behandling av personuppgifter med stöd av berättigat intresse är på gång.

Läs mer: Vad är fortfarande fel med GDPR?