Ett steg närmare en digital inre marknad

Enligt dataombudsman Reijo Aarnio har den nya europeiskadataskyddsförordningen marknadsförts på fel sätt. Man har fokuserat för mycket på sanktioner, inte på möjligheter. Bild: Cata Portin

Europeiska dataskyddsförordningen ger dataskyddet större muskler och befogenheter men i grunden försäkrar reformen smidigare handel och bättre konkurrenskraft.

Om knappt fyra månader träder den nya europeiska dataskyddsförordningen i kraft i EU-området. Även om förordningen har marknadsförts som en omfattande och revolutionerande reform är de flesta av de väsentliga principerna bekanta för finländare sedan tidigare.

Den nya förordningen innebär nya skyldigheter för alla aktörer som handskas med personuppgifter i elektronisk format, men dataombudsmannen Reijo Aarnio upplever att många missat den grundläggande tanken bakom förordningen.

– Det hela går ut på att skapa en äkta digital inre marknad inom EU så att finska konsumenter kan köpa varor och tjänster från till exempel Sverige, Bulgarien eller Spanien. Tyvärr har jag fått den uppfattningen att det här betraktas som en byråkratisk reform – den har helt enkelt marknadsförts på fel sätt genom att framhäva sanktionerna, säger Aarnio.

Enligt honom handlar det om att dataskydd betraktas som något som främjar konkurrensen.

Sanktionerna som han hänvisar till hotar dem som bryter mot förordningen. Böterna kan gå upp till 4 % av aktörens omsättning eller högst 20 miljoner euro.

Lagen fortfarande halvfärdig

När det gäller de olika instanserna i samhället, som handskas med personuppgifter, medger Aarnio att förordningen kräver en del förändringar och uppdateringar.

– Den förutsätter att det finns tillräckligt med kunskap och tillräckligt många kompetenta anställda. Var ska vi hitta alla dataskyddsansvariga?

Förberedelserna kompliceras av att den aktuella inhemska lagstiftningen ännu saknas.

– Jag skulle beskriva det här som ett enormt inlärningsprojekt och inlärningen försvåras av att vi inte har en färdig lag. Vi är inte rådvilla men nog i spänd förväntan, säger han.

Dataombudsmannen förutser att riksdagen kommer att ha häcken full med förberedelserna.

Vice ordförande Elias Aarnio, som inte är släkt med dataombudsmannen, på föreningen Electronic Frontier Finland (Effi) säger att det är viktigt att följa med läget eftersom lagberedningen ännu inte är slutförd och förändringarna sker precis innan förordningen träder i kraft.

– För mindre företag och föreningar är situationen knepig. De huvudsakliga dragen är dock klara och förändringarna berör främst tillämpningen av lagen, säger Elias Aarnio.

General Data Protection Regulation (GDPR) träder i kraft den 25 maj.

Förordningen gäller alla som behandlar personuppgifter. Personuppgifter är exempelvis namn, personbeteckningar, e-postadresser, bilder eller andra uppgifter som kan kopplas ihop med en person.

En konsekvensbedömning måste göras innan varje personuppgiftsbehandling som kan innebära risker för den registrerade.

Drabbas ett företag eller en annan instans av exempelvis dataintrång måste en anmälan lämnas in till myndigheterna inom 72 timmar. I vissa fall måste även de registrerade underrättas.

Organisationer som handskas med känsliga uppgifter måste utse en dataskyddsansvarig som bevakar dataskyddsfrågor.

Källa: Dataombudsmannens byrå

Teknologineutral förordning

Finska näringslivet borde inse potentialen som förordningen medför, säger Reijo Aarnio. Nyttan kanske inte märks direkt men nog i längden.

– Det är beklagligt om de finska företagen inte utnyttjar den europeiska marknaden som omfattar 500 miljoner personer.

Många tvivlar på att förordningen hålls tidsenlig i och med att digitaliseringen framskrider så fort, men Aarnio ser inga hotbilder.

– EU:s dataskyddsdirektiv fyller 23 i år och den har vi klarat oss med rätt så bra hittills i och med att den är teknologineutral. Man kunde till och med säga att den stödjer digitalisering.

De centrala principerna i förordningen, som till exempel den registeransvariges skyldighet att rätta, komplettera eller utplåna uppgifter, har funnits i den finska lagstiftningen i trettio år.

Förordningen omfattar en klausul enligt vilken en konsekvensbedömning måste göras om en ny teknologi kan tänkas utgöra en risk för dataskyddet.

Rätt till radering är ingen nyhet

En punkt som uppmärksammats i medierna är den så kallade rätten till radering.

– Då vi blir kontaktade har många den uppfattningen att det är något som bara sker genom att knäppa på fingrarna. Det kommer som en överraskning för många att det inte riktigt fungerar så, säger Reijo Aarnio.

Enkelt sagt betyder rätten att varje person har rätt att vända sig till den som behandlar personuppgifter och be att uppgifter som avser hen raderas.

Dataombudsmannen understryker att det inte handlar om ett nyckelbegrepp i den nya förordningen.

Elias Aarnio på Effi nämner att rätten kan vara användbar för alldeles vanliga medborgare som exempelvis jobbar som socialarbetare och inte vill ha uppgifter om sig själv på nätet. Också i förföljelsefall kan rätten vara bra att ha.

Skeptiska men pålästa

Effi uppmanar medborgare att värna om sitt dataskydd i allmänhet och inte överlåta sina personliga uppgifter till sådana instanser som verkar skumma eller inte sköter om dataskyddet och datasäkerheten.

– Genom förordningen får medborgarna bättre möjligheter än tidigare att få information om hur deras uppgifter behandlas och förvaras, säger Elias Aarnio.

Enligt dataombudsmannen är finländarna välpålästa och insatta i dataskyddsfrågor men frestelserna har ökat i och med de sociala mediernas framfart.

– Jag kritiserar inte det, men önskar att folk förhåller sig kritiskt till olika innehåll och känner till att det finns hjälp att få om man råkar illa ut.

Effi förhåller sig negativt till påståendet att man inte har något att dölja.

– Det finns saker som vi helt enkelt inte kan avslöja för andra, exempelvis våra bankkoder. Dessutom kan vi inte veta nu vilka uppgifter som kan vara känsliga i framtiden, säger Elias Aarnio.

Viktigt att barnen förstår sig på dataskydd

– När jag var barn lärde jag mig att gå över vägen först efter att ha dubbelkollat att inga bilar fanns i närheten. Det är en ganska bra princip att hålla fast vid på informationens motorväg – oberoende av ålder, säger Reijo Aarnio.

Enligt Effi är det bra att barnen får tillgång till olika tjänster men å andra sidan tenderar användarvillkoren vara så krångligt formulerade att inte ens de flesta vuxna förstår sig på dem.

– Villkoren blir säkerligen tydligare eftersom förordningen kräver det, men den grundläggande problematiken löses inte. Kan ett barn förstå innebörden av ett avtal? säger Elias Aarnio.

Enligt Reijo Aarnio befinner vi oss i ett läge där den yngre generationen är mer kunnig än den äldre generationen.

– Föräldrar kan inte på samma sätt uppfostra sina barn i dataskyddsfrågor som i exempelvis bordsskick. När vi talar om förordningen, som försäkrar bättre rättigheter för medborgarna, har föräldrarna ett ansvar att berätta för sina barn vilka dessa rättigheter är. Att övervaka vilka webbsidor barnen besöker utgör endast en bråkdel av helheten.

Dataombudsmannen anser att det är viktigare att försäkra att barnen förstår och känner till vad dataskydd går ut på än att fästa sig vid en viss åldersgräns.

– Ju bättre barnen känner till dataskyddet, desto bättre kan de utnyttja sina rättigheter. Det skapar större tillit till olika system och bättre förmåga att identifiera svagheter, falska nyheter och sådant.

En förening som avser att försvara medborgarnas elektroniska rättigheter.

Föreningen formulerar rättigheterna som exempelvis rätten till ocensurerad kommunikation, rimliga användarvillkor vid köp av digitalt innehåll och friheten att utveckla och ge ut mjukvara.

Föreningen vill väcka debatt och påverka lagstiftningsprocesserna som hör ihop med upphovsrätt och yttrandefrihet i Finland och Europa.

Föreningens medlemmar består bland annat av experter i teknik och juridik.

Källa: Effi

Mot en renare värld, ett flyttlass åt gången – ”Alla våra 150 röda bilar kör fossilfritt”

Mer läsning