I vår väntas EU-parlamentet rösta igenom den nya dataskyddsförordning som ersätter de nationella lagar som styr hanteringen av personuppgifter idag. Lagen är komplex och de flesta företag saknar kompetens i frågorna, menar Caroline Olstedt Carlström, dataskyddschef på betaltjänstföretaget Klarna. ”Företag känner inte till vilka skyldigheter de har”, säger hon.
Skyddet för konsumenten blir starkare och företagens ansvar i hanteringen av personuppgifter tydligare i EU:s nya dataskyddsförordning. Det kommer att innebära en omvälvande förändring för alla företag som hanterar personuppgifter. Något som de allra flesta företag gör idag, menar Caroline Olstedt Carlström. Den nya lagstiftningen från EU är alltså något i princip alla svenska företag måste känna till.
– Vi måste bli bättre på dataskyddsfrågor och integritetsskydd i Sverige. Bolagen känner inte till vilka skyldigheter de har, man förstår inte. Det behövs information överallt, säger Caroline Olstedt Carlström, som också är ordförande för organisationen Forum för dataskydd.
Kunskapen kring personuppgiftshantering är dålig redan idag med den nuvarande svenska lagstiftningen PuL, konstaterar Caroline Olstedt Carlström. De som ansvarar för frågorna ute på företagen sitter ofta ensamma med sin uppgift, som inte prioriteras av ledningen eller ges utrymme i budgetarna.
– Frågan måste upp på högsta nivå i alla företag. Det tror jag är den största utmaningen för många bolag.
På Klarna är frågan högsta prioritet, eftersom själva kärnverksamheten handlar om personuppgifter. Caroline Olstedt Carlström har fyra juristkollegor som också arbetar med dataskydd, men det räcker inte.
– Jag håller på att rekrytera nu. Vi inför redan vissa av processerna som kommer med förordningen. Men trots att jag har en ledning som lyssnar på vad jag säger, och fyra kollegor som är specialister, så sliter vi jättemycket med det här. Det här tror jag att andra bolag inte har förstått, säger Caroline Olstedt Carlström.
Om EU-parlamentet röstar ja till lagförslaget om ny dataskyddsförordning börjar den gälla om ungefär två år. En mycket kort tid för omställning, konstaterade Caroline Olstedt Carlström och flera andra deltagare på ett seminarium anordnat av Europaparlamentets informationskontor i Stockholm i förra veckan.
– Två år kan låta som lång tid med det kommer att bli ganska tight, sade David Törngren på justitiedepartementet.
Att lagen blir en förordning innebär att den träder i kraft i alla EU-länder och blir en del av den nationella lagstiftningen. Det betyder att Sveriges nuvarande lagstiftning Personuppgiftslagen, PUL, inte kommer att finnas kvar. Att reglerna blir desamma i hela EU är bra, konstaterade seminariedeltagarna. EU menar dessutom att man förenklar för småföretagen, men det stämmer inte menar Caroline Olstedt Carlström.
– Man säger att man underlättar för SME-företag. Jag höll på att trilla av stolen, det är direkt vilseledande, säger hon.
Vad det kommer att kosta företagen att anpassa sig till de nya dataskyddsreglerna är svårt att säga, menar Caroline Olstedt Carlström. Men det kommer att bli nödvändigt att sätta av pengar i budgeten, understryker hon.
– Man kan ju säga så här: Vi är redan fem jurister och en praktikant på Klarna här i Sverige, vi köper in flera verktyg och har själva utvecklat egna verktyg. Vi pratar om budgetar på miljonbelopp.
De företag som bryter mot lagstiftningen riskerar saftiga sanktionsavgifter: bötesbeloppen kan bli upp till fyra procent av årsomsättningen, eller maximalt 20 miljoner euro.
Upplägget slår fel, menar Caroline Olstedt Carlström. Nystartade, mindre företag är troligen de som kommer att göra mest fel och behöva uppmärksammas på lagstiftningen. Men om de inte har någon omsättning att tala om kommer effekten att utebli, tror hon. Istället riskerar stora företag, som lägger ner mycket tid och pengar på att göra rätt, enorma bötesbelopp vid felsteg.
De företag som inser vikten av dataskyddsfrågorna kommer att få svårt att hitta rätt kompetens, tror Caroline Olstedt Carlström.
– Juristutbildningen idag undervisar inte ens i de här frågorna. Och förutom juridisk kunskap måste du ha väldigt mycket mer. Du måste vara duktig på kommunikation, du ska kunna prata med teknikerna på bolaget, du ska förstå och informera användarna och i nästa andetag prata med styrelsen. Det är inte alla som är helt bekväma med det.
Under våren ska EU-parlamentet rösta om förslaget till ny dataskyddsförordning. Reglerna ska ersätta de tjugo år gamla bestämmelser som finns idag. Den nya förordningen för dataskydd beräknas vara formellt antagen i april/maj 2016. I april/maj 2018 ska förordningen träda i kraft och ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen är en del i EU:s arbete med att lansera en digital strategi för den inre marknaden.
Svenskt Näringsliv anser att gemensamma regler inom EU är viktigt, eftersom nationella regler gör det svårt och dyrt för företag att sälja till andra EU-länder. Men avvägningen mellan konsumentskydd och innovationskraft måste bli rätt.
”Vi är bekymrade över att den nya dataskyddsförordningen inte blev mer inriktad på att främja innovationer och stärka konkurrenskraften hos företagen i Europa. Nya regelbördor kommer nu att läggas på företagen och särskilt allvarligt och innovationshämmande ser vi på de höga sanktionsbeloppen som Datainspektionen kan komma att utdöma”, säger Carolina Brånby, juridisk expert inom digitaliseringsområdet.
Källa: Datainspektionen och Svenskt Näringsliv