Synpunkter på Dataskyddsförordningen

IT&Telekomföretagens syn på den nya, överstatliga dataskyddsreglering som för närvarande förhandlas i EU.

Synpunkter på Dataskyddsförordningen

Allmänt

IT&Telekomföretagen är positivt till en översyn och harmoniering av den europeiska dataskyddsregleringen. Utifrån branschens perspektiv är ett gott och väl avvägt skydd av personlig information en förutsättning för tillit till många av de tjänster och produkter som branschen levererar. Vilket i sig är en grundförutsättning för att samhället ska kunna dra nytta av digitaliseringens möjligheter.

För att uppnå en effektiv och ändamålsenlig reglering är det IT&Telekomföretagens uppfattning att ett skydd av personlig information, med beaktande av den mångfald av olika befintliga och i framtiden möjliga tillämpningar av databehandling, i största möjliga mån måste vara anpassningsbart efter de risker som finns eller uppstår i de situationer som informationen används i.
Ett överdrivet detaljerat eller alltför statiskt skydd skulle hämma möjligheten till innovation och nyttoskapande, för såväl den enskilda individen vars data behandlas som samhället i stort.

Prioriterade frågor

Riskbaserad approach

Givet hur snabbt samhället förändras, pådrivet av en accelererande digitalisering och globalisering, riskerar detaljerade och statiska skyddsmekanismer för personlig information att bli såväl ineffektiva, kostnadsdrivande som felriktade.
Ett modernt och framtidssäkert skydd för personlig information bör istället vara baserat på en riskbedömning som tar fasta på hur data används i den specifika situationen. Det gör det enklare för den dataprocessande parten att bedöma vilka åtgärder som är lämpliga och mest effektiva givet den egna verksamheten.
IT&Telekomföretagen uppmanar därför lagstiftaren att fortsätta arbetet för att förfina ansatsen i syfte att få till stånd en hanterbar och meningsfullt riskbaserat system. I synnerhet bör följande aspekter tas i beaktande:

  • En väl avgränsad definition av hög risk;
  • Ett effektivt förfarande för DPA-samråd i fråga om högrisk hantering;
  • En verkligt harmoniserad ansats, inbegripet en lista med de typer av hanteringsförfaranden som kräver DPIA:s;
  • Flexibilitet i fråga om tidpunkten för intrångsanmälan;
  • Bevarande av den nu tillämpliga fördelningen av skyldigheter mellan ”controllers” och ”processors”;
  • En ambitiös ansats i fråga om uppförandekoder, vilket skulle ge utrymme för andra målsättningar än enbart efterlevnad av regler

Förutsättningar för globala dataflöden

Data blir en allt mer central innovationsförutsättning, och tillika en allt mer verksamhetskritisk resurs för många verksamheter. Därför behöver europabaserade företag stödjas att effektivt och till låg kostnad hantera och flytta data globalt och gränsöverskridande.
Även utifrån ett datasubjekts perspektiv torde det vara fördelaktigt att fokus och ansträngningar i hur dennes information skyddas utgår ifrån hur en organisation behandlar informationen framför var den behandlas. Ett fokus på hur framför var skulle även ge organisationer incitament att bättre förstå och hanterar risker i databehandlingen. Därför är det även viktigt att regler och krav på databehandlande organisationer i största möjliga mån harmoniernas på överstatlig nivå.

Håll ansvar och roller för ”controllers” och ”processors” åtskilda

Den traditionella rollen för en ”processor” (den part som behandlar data) innebär att denne levererar en tjänst åt ”controllern” (den part som ansvarar för att data behandlas korrekt och enligt lag). Denna relation definieras vanligen i kontrakt som medför ansvarsåtaganden om ”processorn” skulle begå fel, vilket skapar incitament att sträva efter ett så gott dataskydd som möjligt.
I förordningsförhandlingarna har det föreslagits en ny modell som bygger på ett gemensamt ansvar för ”controllers” och ”processors”. Det skulle göra ansvarsbilden otydligare, och riskerar att medföra såväl ett sämre skydd som driva kostnader för samtliga inblandade parter.
Existerande modell som bygger på tydlig ansvars- och rollfördelning mellan ”controllers” och ”processors” vid behandling av personlig information, vilken har fungerat väl över tid, bör därför stödjas i kommande förordning.

Rätten att bli glömd

EU-domstolens dom i det sk Costeja-målet (C-131/12) erkänner enskilda datasubjekts rätt att, under vissa förutsättningar, bestrida hur deras personliga information behandlas. Mot bakgrund av domen ser IT&Telekomföretagen inget behov av att förstärka den sk ”rätten att bli glömd” i kommande dataskyddsförordning.
Vidare tål det att understrykas att rätten att bli glömd ej är en absolut rättighet. Utan en rättighet som måste prövas fall för fall samt balanseras mot andra grundläggande rättigheter (såsom yttrande- och informationsfrihet), vilket bör förtydligas i förordningen.

Administrativa Sanktioner & Böter

Att felaktig behandling av personlig information ska kunna medföra konsekvenser är en självklarhet för att lagstiftningen ska vara meningsfull. Lika viktigt är det att sanktionerna är balanserade, rimliga och baseras på faktisk skada. Syftet med en sanktion bör vara att skapa rätt incitament för den som behandlar data att göra det säkert samtidigt som legitim databehandling inte begränsas. Höga bötesbelopp för enstaka överträdelser, som ej nödvändigtvis är avsiktliga eller skadliga för datasubjektet, riskerar att starkt undergräva innovationsincitamenten för nya, innovativa digitala tjänster. Detta gäller inte minst SME-företag.

Därför är det viktigt att böter är anpassade till situationen och den faktiska skada som drabbar datasubjektet.