Två år med GDPR

Som bekant började den allmänna dataskyddsförordningen gälla den 25 maj 2018, men var står vi nu och vad har de första två åren med GDPR egentligen inneburit? Vi har intervjuat en internationell advokat, Nicola Sheehan Björklund, om hur hon ser på de två gångna åren och hur hon tror att lagstiftningen kommer att utvecklas framöver.

Advokaten Nicola Sheehan-Björklund har ett stort intresse för privacyfrågor (däribland dataskydd), mänskliga rättigheter och IT-rätt. Hon tycker sig se en tydlig brytpunkt innan respektive efter den 25 maj 2018, där det har skett en påtaglig förändring i många organisationer. Frågor hänförbara till integritet och dataskydd har efter lagens ikraftträdande klättrat högre upp på många organisationers agendor och medvetenheten kring vikten av dessa frågor har ökat.

Nicola, som är baserad i Malmö, arbetar med organisationer på både lokal och global nivå och har inte bara märkt en skillnad i organisationers inställning till dataskyddsfrågor och säkerhetstänkande i EU, utan också i organisationer som ligger geografiskt utanför EU. Hon har exempelvis noterat en betydande förändring när hon har arbetat med organisationer belägna i USA, ett land som de senaste åren också har genomgått en förändring och utveckling inom dataskydd- och integritetsområdet. Det verkar som att synsättet på hantering av personuppgifter inom EU såväl som i USA har, nu efter GDPR:s ikraftträdande, kommit närmare varandra, säger Nicola. Hon fortsätter och säger, att det exempelvis visas genom att frågor såsom om EU-kommissionens standardavtalsklausuler ska ingås, vem som bär personuppgiftsansvaret och om en konsekvensbedömning behöver göras, utgör en mer naturlig del av dialogen i affärssammanhang mellan organisationer både inom och utanför EU.

– Det verkar som att fler organisationer aktivt arbetar med mer proaktiva insatser i syfte att förhindra att personuppgiftsincidenter inträffar. Det verkar också som att fler incidenter inrapporteras till tillsynsmyndigheter, jämfört med tidigare, då det snarade förelåg en underrapportering, säger Nicola.

Detta tror hon mycket är GDPR:s förtjänst, det vill säga att de mer striktare bestämmelserna har hjälpt till och bidragit till ett bättre säkerhetsperspektiv i många organisationer samt en ökad förståelse för när det föreligger en skyldighet att till tillsynsmyndigheten inrapportera incidenter som medför risk för personers fri- och rättigheter.

Intresset för dataskyddsfrågor har vuxit bland privatpersoner

Det är emellertid inte bara på affärssidan som Nicola har noterat en märkbar förändring sedan den nya lagens ikraftträdande, utan även bland privatpersoner har hon sett att intresset för dataskyddsfrågor vuxit. Detta tror hon beror på att många personer i större uträckning använder sig av diverse tjänster, appar och sociala medier i sitt vardagliga liv. Det, i kombination med att EU, tillsynsmyndigheter och andra vägledande organ samt media riktat strålkastaren mot GDPR och tydliggjort vilka rättigheter de enskilda har i och med förordningen och hur de ska gå tillväga för att realisera sina rättigheter gentemot de organisationer som behandlar personuppgifterna. Som ett tecken på denna utveckling har privatpersoner återkallat sina samtycken, begärt att deras personuppgifter raderas och registerutdrag har efterfrågats med mera.

Stor och kostsam omställning för många organisationer

Den nya lagstiftningen har för många organisationer inneburit en stor och kostsam omställning gällande hanteringen av och synsättet på hur personuppgifter ska hanteras. Trots detta har det skett ett skifte från att organisationer insamlar personuppgifter ”för att det är bra att ha”, till att personuppgifter istället insamlas och hanteras på ett mer ansvarsfullt och motiverat sätt. Fördelar ur både affärs- och konsumentsynpunkt som uppkommit i kölvattnet av införandet av GDPR – för de organisationer som på ett aktivt, öppet och transparent sätt visar hur de hanterar personuppgifter i enlighet med lagen – stavas konkurrensfördel i affärssammanhang, förtroendeskapande hos kunder och större motståndskraft vid hot om cyberattacker och andra personuppgiftsincidenter.

– Vägen mot fullständig GDPR-efterlevnad är givetvis ett pågående arbete. Organisationer måste fortsätta att hålla sig à jour med utvecklingen på rättsområdet och vidta ytterligare åtgärder för att ständigt vara beredda på att hantera nya utmaningar och tillse regelefterlevnad, säger Nicola.

Som exempel anför hon den rådande pandemin i världen, där många dataskyddsjurister nu ställs inför nya frågeställningar. Frågor som uppstått handlar om allt ifrån organisationers hantering av hälsodata, övervakning av enskilda och distanslösningar, till hur medarbetares och organisationers data ska skyddas vid hemarbete med mera. Här står vi inför en stor utmaning, menar Nicola, där lagstiftningen ska tolkas i ett nytt ljus samtidigt som vi dataskyddsjurister ska se till att alla rättigheter som gör sig gällande balanseras på ett legitimt sätt.

Artificiell intelligens

Något som också intresserar Nicola är artificiell intelligens, så kallad AI, och hur sådan teknik kommer att utvecklas och förhålla sig till GDPR och integritetsfrågor i allmänhet. Det blir även intressant att se hur moraliska och etiska dilemman som kan aktualiseras där kommer att lösas.

– Det ska bli oerhört spännande att se vart vi befinner oss om ytterligare två år, säger hon.

Sammanfattningsvis hoppas Nicola att vi under tid ska får mer klarhet kring och vägledning i de gråzoner, undantag och oklarheter som finns på rättsområdet. Särskilt hur GDPR ska förhålla sig till övrig lagstiftning och frågor på dataskydd- och integritetsområdet.

Så nu när den 25 maj 2020 är här bör vi kanske inte bara fira att många organisationer klarat av de mer striktare kraven som GDPR uppställer jämfört med den tidigare lagstiftningen på rättsområdet. Vi bör kanske också fokusera på de positiva utfallen lagstiftningen fört med sig under denna tvåårsperiod.

Publicerad 25 maj 2020