Den text som föreslås ersätta dataskyddsdirektivet läckte ut i slutet av december. Mycket är sig likt, men det finns en rad nyheter: åldersgräns för lämnande av samtycke, förbud mot profilering och möjligheten att sanktionera överträdelser med upp till fyra procent av omsättningen för att nämna några.
Än så länge finns ingen svensk version. Men jag har pratat med advokater vid MAQS och Magnusson om några av detaljerna i det engelskspråkiga utkastet:
1 Hur ska företag säkerställa att användare uppfyller ålderskravet?
Texten innehåller en åldersgräns på 13-16 år för lämnande av samtycke till personuppgiftsbehandling.
- I USA finns väldigt mycket regler, jag gissar att det är därifrån det kommer. Och på Facebook är det 13-årsgräns, säger Christina Berggren vid MAQS.
- Datainspektionen har ju tidigare satt någon rekommendation på 15 års ålder. Vid 15 års ålder kan man utgå från att en person förstår vad ett samtycke innebär. Det innebär ingen stor förändring att man nu sätter en gräns på 13-16 år, säger kollegan Johan Engdahl.
Företaget ska vidta rimliga åtgärder (”reasonable efforts”) för att säkerställa att det är vårdnadshavare som lämnat samtycke . Vad innebär detta i praktiken? E-signaturer t ex? Eller räcker det att intyga att man har åldern inne eller att man är vårdnadshavare genom att klicka i en ruta?
- Det är den personuppgiftsansvariga som är ansvarig. Om man riskerar de här böterna kommer man ju inte nöja sig med klickruta. Man kommer vilja ha något säkert, säger Johan Engdahl vid MAQS.
- Ett extra moment gör att du tappar väldigt många kunder. Vissa risker är värda att ta, tillägger Christina Berggren.
Påverkar detta befintliga konton i sociala medier?
- Det borde inte gälla bakåt i tiden. Inte per automatik, säger Engdahl.
- Man har rätt att uppdatera villkor. Här handlar det om att inhämta samtycke. Det är något man får tänka på - hur gör man rent konkret för att inte bli skadeståndsansvarig gentemot användare och att inte åka på böter? Vad är risken för att jag blir fälld respektive att jag förlorar pengar? Man får väga det ena mot det andra. Det blir juristernas roll att bedöma, säger Christina Berggren.
2 Klarar företag att leverera information om intrång inom 72 timmar?
Företag ska lämna information om dataintrång inom 72 timmar efter att intrånget kommit till företagets kännedom - både till berörda myndigheter och till de individer informationen rör. Undantag kan medges om uppgifterna krypterats.
Är kravet för högt ställt?
- Utifrån hur det ser ut idag skulle det bli svårt. Men har man förberett sig tror jag inte det ska vara några problem. Och frågan är vad man ska rapportera, det får ju inte gå hur långt som helst. Det måste finnas någon rimlighet I det hela, sager Christina Berggren.
- Och – är informationen som lämnas sekretessbelagd? Det måste man ju ha tänkt på, tillägger hon.
Filip Johnssén, group privacy manager och privacy counsel vid Sandvik, ser annorlunda på saken:
- 72 timmar är mycket kort tid oavsett förberedelser. Detta eftersom det troligtvis är flera olika delar av organisationen som kommer involveras, bedömningar och beslut ska kanske fattas i varje led. Det är också omfattande information som ska lämnas. Här behöver även Datainspektionen ge ut riktlinjer om hur de vill ha in rapporterna. Vi håller som bäst på att ta fram en lämplig process för att klara av detta. Sedan behöver den implementeras - som alltid är det implementationen som är utmaningen.
3 Utvidgas möjligheterna att registrera och publicera domar?
Enligt nuvarande personuppgiftslagen är det förbjudet för andra än myndigheter att behandla "personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa
frihetsberövanden".
Motsvarande regel i dataskyddsförordningen innehåller formuleringarna “… data relating to criminal convictions… Any comprehensive register of criminal convictions may be kept only under the control of official authority".
Innebär detta någon förändring?
- Man får nog titta på syftet. Varför ska du behandla uppgifterna? Ändringen innebär inte att det plötsligt blir tillåtet att behandla nya typer av uppgifter, säger Johan Engdahl.
4 Behövs särskilda fönster eller rutor för inhämtande av samtycke?
Samtycke ska enligt texten vara ”freely given, specific, informed and unambiguous … by a statement or by a clear affirmative action”. För känslig information krävs ”explicit consent".
Och:
“If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent must be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language".
Räcker det att den registrerade klickar i en ruta för alla villkor, eller behövs ett separat fönster för lämnande av samtycke?
- Vissa texter kommer vi bryta ut så att det blir tydligare än idag. Samtycket kan inte bara vara inbakat i villkoren. Om det är olika fönster ska inte spela någon roll. I praktiken kommer det inte fungera med en separat ruta för samtycke, du tappar för många kunder, säger Christina Berggren.
- Vi har pratat med Post- och Telestyrelsen om cookies. Där spelar det inte så stor roll exakt var texten finns, huvudsaken är att den syns.
5 Hur kommer dataskyddsmyndigheterna agera?
Företag som bryter mot förordningen kan få böta med upp till fyra procent av koncernens totala omsättning. Är tillsynsmyndigheterna skyldiga att använda sanktionsreglerna?
- Finansinspektionen och Konkurrensverket för alltid en dialog med företagen innan det börjar ställas krav. Men vi vet inte, säger Christina Berggren.
Som en parentes kan nämnas att Datainspektionen verkar gå försiktigt fram vad gäller företag som fortsätter överföra personuppgifter med stöd av Safe Harbor.
- Jag är övertygad om att Datainspektionen kommer fortsätta på den inslagna vägen med dialog osv. Vilket är bra. Syftet är ju att skydda individers integritet och det tror jag man bäst uppnår med samarbete. Det framgår också direkt i förordningen att det är en trappa med sanktioner, säger Filip Johnssén.
Dataskyddsreformen ingår i projektet den digitala inre marknaden, som när det är genomfört ska generera vinster - eller besparingar om man så vill - om 415 miljarder euro. Tanken är att elektroniska varor och tjänster behöver kunna flöda fritt för att EU ska kunna ta teknikens potential till vara. När dataskyddsförordningen trätt i kraft slipper företag anpassa sig efter 28 olika regelverk. EU-kommissionen uppskattar att detta kommer bespara europeiska företag 2,3 miljarder euro per år.
Fredrik Erixon vid tankesmedjan European Centre for International Political Economy delar inte den bedömningen. Han sade vid ett seminarium om den digitala inre marknaden i förra veckan att dataskyddsreformen kommer innebära betydande kostnader per dataöverföring. Han menar också att Safe Harbor-domen kommer försvåra överföringen av mellan EU:s medlemsstater.
Dag Wetterberg, partner vid Magnusson, håller med. Kraven på uttryckliga samtycken och kommunikation med registrerade som vill ha ut uppgifter är två skäl:
- Idag kan du inhämta samtycke konkludent. Enligt dataskyddsförordningen krävs uttryckliga samtycken. Bara det innebär kostnader. Sedan måste företag svara enskilda som vill ha ut uppgifter inom en månad. Kan de inte leverera kan de bli skyldiga att böta med 0,5 procent av omsättningen.
- Företag som hanterar mycket uppgifter måste redan nu fundera över hur de ska hantera detta.
- Instämmer. Detta kommer kosta pengar, säger Filip Johnssén.
- Särskilt för företag där personuppgifter inte är det centrala eftersom även dessa kommer behöva lägga stora resurser på dataskyddsregelefterlevnad. Inte minst med tanke på undantaget att alla medlemsstater får anta egna bestämmelser om HR-uppgifter.
7 Hinner företag ställa om på två år?
- Det är väldigt kort tid när det gäller IT-projekt, säger Christina Berggren.
Hur blir det med kompetensförsörjningen?
- Till viss del kommer företag nog behöva nyanställa. I alla fall de som inte tittat på detta tidigare. Kraven på kompetens kommer bero på verksamheten och hur komplicerad personuppgiftsbehandlingen är. Det viktiga är att få upp det på ledningsnivå. Det kommer nog ta lite tid, säger Johan Engdahl.
- Med tanke på omfattningen av de nya bestämmelserna kommer nog en stor del av medelstora och stora företag tvingas anställa någon som jobbar specifikt med dataskyddsfrågor. Det kommer mycket snart uppstå brist på kunniga personer som även är vana att implementera kraven i organisationen, säger Filip Johnssén.
Text och bild: Fredrik Svärd
[email protected]
Läs också
Datainspektionen chattar om dataskyddsförordningen
Tiden rinner ut för Safe Harbor - vad händer nu?
Och priset för bästa sammanfattning av dataskyddsförordningen går till...
Vartannat företag känner inte till dataskyddsreformen
Take action for privacy in culture, code and customer care
Experternas råd efter Safe Harbor-domen
Safe Harbor: Industrin vädjar till EU och Obama