När GDPR (the General Data Protection Regulation) gjorde intåg i svensk lagstiftning 2018 föreföll en ny era för internet och hantering av personuppgifter ha inträtt. Hur har denna lagstiftning utvecklats och vad har hänt i praktiken?
Den 25 maj 2018 trädde GDPR i kraft under mycket pompa och ståt och för många företag och verksamheter blev livet genast mer komplicerat och frågorna var många. Förvirringen ökade exponentiellt med mediers bevakning av ämnet och mången konsult inom dataskydd fick ett överskott av debiterbara timmar att utnyttja.
Big Tech
GDPR ersatte 1995 års Data Protection Directive (95/46/EG) eller Dataskyddsdirektivet, en erfaren föregångare med många år på nacken som reglerade dataskydd och hantering av personuppgifter långt innan vi fick sociala medier och de former av digitalisering som är en naturlig del av vårt samhälle idag.
Dataskyddsdirektivet ledde till att alla EU:s medlemsstater införde egna nationella lagar inom dataskyddsområdet, vilka alla strävade mot samma mål, men i slutändan blev regleringen av hanteringen av personuppgifter inom Europa alltför delad. I Sverige lagstiftade vi fram Personuppgiftslagen (1998:204) för att införa Dataskyddsdirektivet i svensk rätt. Då som nu var det Datainspektionen (sedan 2021 Integritetsskyddsmyndigheten, IMY) som utförde tillsyn över personuppgiftshanteringen runtom i Sverige.
Början till den förändring som ledde fram till att GDPR skapades kom med födelsen av sociala medier, särskilt de företag som senare kommit att kallas Big Tech: Amazon, Apple, Facebook, Google och Microsoft. Dessa företag har kommit att styra mycket av det vi gör i vår vardag genom sina datacenter, plattformar, operativsystem, smartphones, webb-läsare och onlinetjänster.
Mängderna personuppgifter som Big Tech hanterar är astronomiska och det tog inte lång tid innan människor började reagera på hanteringen och vad denna innebar för den vanlige medborgaren.
Stämning mot Facebook
En sådan människa var österrikiske juristen och dataskyddsaktivisten Maximilian Schrems som stämde Facebook Ireland Ltd hos irländska dataskyddsmyndigheten i det så kallade Schrems I-målet.
Enligt Maximilan Schrems fick Facebook Ireland Ltd inte överföra hans personuppgifter till Facebook Inc i USA då Facebook var tvungna att ge amerikansk underrättelsetjänst tillgång till hans personuppgifter, vilket skulle bryta mot EU-kommissionens Safe Harbour-beslut (en uppsättning principer som utvecklades i slutet på 90-talet för att hantera överföring av personuppgifter mellan EU och USA).
Fallet gick hela vägen upp till Europadomstolen som i stort gav Schrems rätt och bland annat ogiltigförklarade Safe Harbour-beslutet.
Maximilian Schrems stannade inte där utan lämnade in en ny stämningsansökan mot Facebook 2018, nu under den nya GDPR-lagstiftningen. Detta så kallade Schrems II-målet ledde till att Europadomstolen återigen gav Schrems rätt och ogiltigförklarade Privacy Shield-avtalet, en efterföljare till Safe Harbour-beslutet som också syftade till att hantera överföringar av personuppgifter mellan EU och USA.
Detta domslut kom i juli 2020 och är kanske en ännu större förändring för hanteringen av personuppgifter än vad GDPR själv var, på grund av de konsekvenser detta kan innebära för näringslivet.
Risker för företag
Intressant nog talas det väldigt lite om Schrems II-avgörandet i medier, i vart fall om man jämför med hur det såg ut när GDPR var nytt. Detta trots att avgörandet innebär att det sedan den 16 juli 2020 är olagligt att överföra personuppgifter från EU till USA om man inte kan garantera samma skydd för uppgifterna som inom EU, vilket är en svår uppgift givet den amerikanska underrättelselagstiftningen.
Således måste varje svenskt företag som använder sig av tjänster från till exempel Google och Amazon säkerställa att överföringen av kundernas personuppgifter till de amerikanska företagen följer kraven i GDPR annars är överföringen olaglig.
Med tanke på hur den digitala utvecklingen ser ut idag gäller detta de flesta svenska företag och riskerna med att inte följa GDPR:s krav är stora, såväl avseende de stora sanktionsbeloppen som ryktesrisken då ett företag som ertappas med att inte hantera kunders uppgifter rätt kan tappa sina kunder.
Lokala lösningar
Kanske är Schrems II-avgörandets långtgående konsekvenser för svåra att greppa, eller så väntar man på att det ska ske någon form av politisk lösning på problemet, så att företagen ska slippa denna huvudvärk. Jag tror dock att en politisk lösning är för svår för att hoppas på inom en snar framtid, eftersom detta i princip innebär att amerikanerna måste ge avkall på dagens underrättelsetjänst, vilken har ett starkt fäste i den amerikanska kulturen.
På den andra änden av skalan kan avgörandet innebära att internet såsom vi känner till det kommer att ritas om helt, med fler lokala lösningar och färre globala tilltag. Kanske är det den enda möjliga vägen, om ambitionen är att verkligen säkerställa att våra personuppgifter hanteras på rätt sätt, givet skillnaden i hur man ser på denna fråga från en organisation till en annan.
Jag kommer själv att följa utvecklingen på detta område med största intresse, med hopp om att vi ser en framtid där vi både ser respekt för människornas privatliv och personuppgifter, samtidigt som företag kan hitta sätt att utveckla sina verksamheter och ge kunderna det de önskar.
Visste du att vi även finns som papperstidning med veckoutgåva? Svenska Epoch Times – en traditionell nyhetstidning med klassisk, objektiv journalistik. Teckna din provprenumeration på papperstidningen idag – endast 99kr – klicka här för mer information.