Varje dag inom EU, företag, myndigheter och privatpersoner överföra stora mängder personuppgifter över gränserna. Men motstridiga bestämmelser om uppgiftsskydd i olika länder störa det internationella utbytet. Det gör även att individer kan vara ovilliga att överföra personuppgifter till andra länder om de inte är säkra på vilka rättigheter som gäller. Det är i det ljuset som gemensamma regler införts för att se till att medborgarna har en hög skyddsnivå för de här uppgifterna oavsett de finns i hela EU. Du har rätt att klaga och få upprättelse om dina data missbrukas var som helst inom EU. Men när många ska enas så är det lite spretigt och olika regler gäller för olika länder, det har man velat åtgärda och i somras inleddes de slutliga diskussionerna rörande General Data Protection Regulation (GDPR) och är för närvarande planerad att producera en slutliga versionen nu denna månad (december 2015).
Jag tror det kommer att få större konsekvenser på hur vi måste hantera data i alla dess former än vad många inser. Till viss del är det väl så att vi i Sverige kommer att bli ”minst” berörda på grund av vår gamla kära PUL. Men det kommer vara något alla bör se över, med tanke på att bötesbeloppet är 2% av företagets omsättning eller minst 1 miljon Euro.
Några av de viktigaste punkterna i GDPR är:
- GDPR kommer att träda i kraft två år efter dagen för offentliggörandet. Dataskyddsdirektivet (95/46 / EG) kommer att upphävas när den slutliga GDPR officiellt publiceras. Däremot kommer lagstiftningen medlemsstaterna vidtagit för att genomföra direktivet inte att upphävas av GDRP. Denna lagstiftning kommer att gälla tills GDPR träder i kraft.
- GDPR jurisdiktion kommer att nå utanför EU, med extraterritoriell behörighet knuten till erbjudandet av varor eller tjänster till, eller övervakning av registrerade inom EU. Icke-EU-styrenheter som uppfyller detta jurisdiktions nexus kommer att behöva utse en EU-representant ”om behandlingen är tillfällig och det är osannolikt att resultera i en risk för fri- och rättigheter individer”.
- ”one stop shop” som ger tillsynsmyndigheten verkställighet i en enda medlemsstat i EU har urvattnats.
Europeiska dataskyddsstyrelsen (en reinkarnation av artikel 29-arbetsgruppen) har etablerat sig som en betydande beslutande organ i tolkningen av GDPR. - GDPR kommer att kräva att man samtycker före (inte efter) vilket kommer att ställa krav på korrekt information.
- Information som ska lämnas till de som registrerar sig fortfarande omfattande, bland annat med angivande av legitima intressen hos den registeransvarige eller de föreskrivna eller avtals krav som åberopas för att motivera behandling (om så är fallet). Registrerade måste också få en förklaring av de olika rättigheter de har i förhållande till de uppgifter som registrerats.
- Rätten att bli bortglömd och data portabilitet finns kvar, men med tydligare gränser;
- Bestämmelser över profileringen (det vill säga automatiserade individuella beslutsfattande) har avsevärt förkortats, men det är fortfarande nödvändigt att meddela den enskilde att profilering sker, betydelse och konsekvenserna av profilering och logik inblandade, och att kräva mänsklig inblandning om individen ifrågasätter beslutet.
- Förslaget innehåller en ny ”Big Data” eller ytterligare avsättning bearbetning populärt kallat det sekundära syftet vilket stramar åt möjligheterna till glidning från det ursprungliga syftet, men samtidigt möjligheten för behandling för oförenliga ändamål i vissa begränsade fall.
- Kravet på anmälan av data behandling till dataskyddsmyndigheter avskaffas, men ansvariga och registerförare har nu omfattande krav hur hanteringen sker för loggning, dataskydd dels genom planering, dels genom design och standard, och för att kunna visa att deras bearbetning uppfyller GDPR.
- Bearbetning av hög risk kräver en dataskydds konsekvensanalys, och om lämpliga förmildrande åtgärder inte vidtas, måste den registeransvarige samråda med tillsynsmyndigheten innan man fortsätter.
- Dataprocessorer kan vara direkt ansvarig för böter och krav från registrerade. Solidariskt ansvar med regulatorn kvarstår, men det kan motbevisas om bearbetningsföretaget eller styrenhet bevisar att det inte var ansvarig för den händelse som orsakade skadan;
- Krav på anmälningsskyldighet vid risk för att en eller flera individers rättigheter kan befaras. Även individen ska underrättas.
- Bindande företagsregler kommer att finnas tillgängliga för både ansvariga och registerförare; och
överföringar i form av EU: s befintliga modellklausuler gäller tills annat beslutas av kommissionen, Tillsynsmyndigheterna kommer inte att kunna kräva förhandstillstånd för att överföra på denna grund.
Personligen tror jag att likställa reglerna över EU är bra, det har spretat alltför mycket allt för länge. Hoppas att vi kan komma tillrätta med en del avarter inom webbhandeln på det här sättet.