Opinion
”Vi måste få utbildning om nya rättigheterna i GDPR”
DEBATT. I vår förstärks vårt lagliga skydd för hur vår persondata behandlas och hanteras av företag och myndigheter. Men varför är vi inte bättre informerade om våra nya rättigheter? Och vems är ansvaret att informera, undrar Egil Bergenlind, dataskyddsjurist.
Det är knappt fyra månader kvar till att EU:s Dataskyddsförordning, General Data Protection Regulation (GDPR), träder i kraft 25:e maj. Hittills har diskussionerna om GDPR fokuserat på de stora utmaningar som den innebär för företag, inte på de stärkta mänskliga rättigheter som den innebär för oss individer. Det är anmärkningsvärt, när bakgrunden till Dataskyddsförordningen handlar om rätten till personlig integritet i ett digitaliserat samhälle.
Regeringen kallar GDPR den största integritetsstärkande reformen på länge. Med GDPR ska företag och myndigheter hindras från att använda persondata på ett sätt som vi som individer inte är bekväma med. De ska även hindras från att hantera datan på ett sätt som utsätter oss för risker.
Digitaliseringen och den tekniska utvecklingen med omfattande och avancerad databehandling av personuppgifter, har ökat risken för att känsliga uppgifter om oss hamnar i orätta händer och påverkar våra liv negativt. Hotet från hackers och kriminella ökar i takt med att värdet av datan blir större och större.
Med GDPR kommer vi som individer ha rätt att förstå hur vår data behandlas av företag och myndigheter; vad för information som samlas in, hur den används och vem den delas med. Vi har t.ex. rätt att få information raderad och att rätta informationen. Om något gått snett, blir det enklare att kräva skadestånd. Att individer får kontroll över hur vår data behandlas är en historisk milstolpe för personlig integritet.
Att Dataskyddsförordningen följs säkerställer balans mellan företags och myndigheterna intressen av att behandla data å ena sidan, och individers intresse av skydd å andra sidan. För att skydd ska säkerställas i praktiken måste Dataskyddsförordningen följas av alla företag och myndigheter i Sverige. Lagstiftaren har tagit i från tårna när det gäller böter om man inte följer GDPR, det högsta är fyra procent av global omsättning eller 20 miljoner euro.
För att böter ska bli verklighet måste det först till tillsyn. I Sverige är det Integritetsskyddsmyndigheten (tidigare Datainspektionen) som har ansvaret för tillsynen. De fick nyligen 30 miljoner för att kunna stärka arbetet, men det kommer inte räcka – de kommer behöva prioritera sina insatser noga.
De allra flesta företag och myndigheter som behandlar personuppgifter kommer inte få någon påhälsning från Integritetsskyddsmyndigheten. De behöver andra incitament för att efterfölja reglerna - en upplyst allmänhet som är medvetna om, hur, och när de kan utöva sina rättigheter.
Ansvaret att informera individer, konsumenter och arbetstagare ligger på många olika aktörer. Givetvis måste företag och myndigheter ta ansvar för vad de själva gör och vara transparenta med det. Men även skolan måste utbilda oss i våra mänskliga rättigheter, inklusive rätten till skydd för personlig integritet. Fackförbund bör utbilda arbetstagare. Konsumentskyddande instanser bör utbilda konsumenter.
Integritetsskyddsmyndigheten har självklart en viktig roll: Deras vision är ett samhälle där den personliga integriteten värdesätts och prioriterats. Det effektivaste sättet att uppnå den visionen måste vara utbildning av allmänheten så att vi som individer kan utöva våra rättigheter.
Egil Bergenlind, dataskyddsjurist och vd DPOrganizer
