Hot om enorma böter en blåslampa för fack och företag Priset för företag och organisationer som inte följer GDPR blir högt: böterna för en större överträdelse har satts till fyra procent av omsättningen (den globala omsättningen för hela koncernen), eller 20 miljoner euro (cirka 195 miljoner kronor). Det som blir högst. Foto: Erik Johansen / NTB scanpix / TT

Hot om enorma böter en blåslampa för fack och företag

GDPR Bakom de snabba framstegen inom maskininlärning finns en avgörande nyckelingrediens: ”Big data”, eller de enorma digitala informationsflöden som osynligt omger våra samhällen. Men från den 25 maj skärper EU reglerna rejält när det kommer till företags och organisationers hantering och lagring av de uppgifter som kan kopplas till dig.
15 jan 2018 | 06:00
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Valpåverkan, spionage, riktad annonsering, utveckling av användaranpassade IT-tjänster och maskininlärning. Ja, användningsområdena för den smog av digital information, eller ”Big data”, som hänger över det moderna IT-samhället är många – och väcker svårbesvarade frågor om integritet och säkerhet.

Allt som kan kopplas till en fysisk person är en personuppgift

Det som sparas i en cookie på en webbplats och skickas vidare via Google Analytics eller en Facebook-pixel kan tyckas oskyldigt nog för en vanlig webbanvändare som får upp en intressant annons eller kan sprida artikeln vidare – men med lite finess går det ofta att få fram alla möjliga uppgifter om personens ålder, användarnamn i sociala medier, intressen och politiska sympatier.

Kina går mot ökad övervakning

I succéserien Black Mirror skildras vårt beroende av sociala medier i avsnittet ”Nosedive”. I den framtidsvisionen betygssätts våra beteenden av andra användare, och högre poäng ger användarna tillgång till mer exklusiva erbjudanden och samhällstjänster, medan låga poäng stänger dem ute från såväl jobb som sociala sammanhang.

I Kina har den här visionen redan kommit verkligheten några steg närmare. Eller vad sägs om den kinesiska ”superappen” Alipay från mäktiga Alibaba Group, som har stenkoll på vad användarna gör och kan bedöma deras kreditvärdighet beroende på bland annat deras konsumtionsvanor och bekantskapskretsar, via en noga hemlighetshållen algoritm. I magasinet Wired skildras hur människors liv i allt högre grad påverkas av vilken poäng (”Zhima credit”) de har i appen, som också innehåller en importerad svartlista över ”Ohederliga personer” från landets högsta domstol.

+ Expandera

Big data har utvecklats till en riktig guldrusch – och när man tror sig surfa privat i sin ensamhet är det ofta mer rättvisande att föreställa sig att tre personer står och kikar över axeln. Personuppgiftslagen, PUL, som är Sveriges tillämpning av Dataskyddsdirektivet från 1995, har knappast hunnit med utvecklingen som på kort tid gjort det möjligt att samla in och bearbeta rent ofattbara informationsflöden.

De demokratiska samhällena har visat sig vara sårbara för en manipulativ användning av Big data, som kan bjuda på mer sofistikerade sätt att påverka valen än att rigga själva rösträkningen. Det är en fråga som uppmärksammades stort i samband med presidentvalet i USA där Ryssland pekas ut som en aktiv aktör i att påverka opinionen med spridning av desinformation via nättroll – efter att nogsamt ha kartlagt tilltänkta målgrupper.

Krafttag mot spridning av personuppgifter

EU har valt att skruva åt den här digitala kranen. Den 25 maj införs Allmänna dataskyddsförordningen, mer känd som GDPR, i hela unionen och ersätter den svenska PUL, som man menar varit allt för tandlös. Vilda västern-hantering av personuppgifter kommer inte längre att tolereras.

GDPR är ett tjockt dokument av tvingande lagtext som ställer hårda krav på företag, organisationer och myndigheter som behandlar och lagrar personuppgifter – vilket förmodligen i dag innefattar de allra flesta. Bland annat ska aktörerna kunna radera informationen om en användare på begäran (där det inte finns tydliga skäl att behålla informationen), och kunna hålla reda på när, var och hur personuppgifter mottagits.

Information får dessutom bara samlas in med medgivande från användaren för det specifika syftet. Att samla information på hög för att sedan hitta på nya användningsområden går inte för sig.

Böterna för en större överträdelse har satts till fyra procent av omsättningen eller 20 miljoner euro

Priset för att inte följa förordningen blir också högt: böterna för en större överträdelse har satts till fyra procent av omsättningen (den globala omsättningen för hela koncernen), eller 20 miljoner euro (cirka 195 miljoner kronor). Den summa som blir högst av de båda.

Räkneexempel på storföretag som Ericsson har nått miljardbelopp och understryker lagstiftarnas allvar. Samtidigt kan en mindre överträdelse ge böter på två procent av omsättningen, eller 10 miljoner euro (cirka 98 miljoner kronor).

De här summorna har skapat en hel del huvudbry bland företagsledningar som undrar om deras IT-system är anpassade till det nya regelverket – och IT-ansvariga som inte vet: förordningens artiklar och beaktandesatser fyller nämligen hundratals sidor. På datainspektionens hemsida går det att ta del av följande råd:

”Förordningen innehåller 99 artiklar. Vi rekommenderar att läsa dessa tillsammans med de beaktandesatser (skäl) som hör till artikeln. Skälen finns i den första delen av förordningen. Ibland kan det också hjälpa förståelsen om man jämför exempelvis den svenska och engelska versionen av förordningen. Det kan även vara bra att göra en jämförelse med motsvarande bestämmelser i dataskyddsdirektivet från 1995 och personuppgiftslagen.”

För ett företag får det helt enkelt inte hända att man betalar böter på fyra procent av omsättningen

Det förvånar knappast att såväl fackrörelsen som näringslivet bedrivit omfattande informations- och utbildningsarbeten för att klara av den här omställningen. Carola Brånby, jurist och digitaliseringsexpert på Svenskt Näringsliv, berättar att frågan tas på största allvar.

Jurist och policyansvarig, Svenskt Näringsliv.

– Det var också lagstiftarens intentioner med de höga bötesbeloppen, att tvinga företagen att följa reglerna. Man kan säga att GDPR är en skärpning och påbyggnad av det gamla direktivet från 1995, säger Carolina Brånby till Arbetsvärlden.

Företagen behöver göra sin hemläxa. Först och främst måste de veta vad som definieras som personuppgifter, en definition som är betydligt bredare än många föreställer sig.

Det är inte bara namn, adress, telefonnummer och e-postadress det handlar om. En personuppgift kan exempelvis vara maskin-id på en mobil.

– Allt som kan kopplas till en fysisk person är en personuppgift, exempelvis en IP-adress, säger Carolina Brånby.

Det gäller också för företagen – och myndigheter och andra organisationer för den delen – att hålla koll på vad för kategorier av personuppgifter de har.

Känsliga personlighetsuppgifter förknippas med särskilt stränga regler och innefattar sådant som sexuell läggning, etnicitet, politiska åsikter, religion eller fackmedlemskap. Att förbereda organisationen för de nya reglerna kräver i sig resurser och i en del fall stora administrativa omgörningar.

– Vi hade under 2017 slutsålda seminarier om GDPR på våra regionkontor. Intresset och engagemanget har varit enormt. Den här frågan har förstås prioriterats upp i och med de höga bötesbeloppen. För ett företag får det helt enkelt inte hända att man betalar böter på fyra procent av omsättningen, säger Carolina Brånby.

Sammanhanget kan spela in

Hon dämpar dock oron något och poängterar att proportionalitet gäller i GDPR, och att Datainspektionen, som är tillsynsmyndighet, har visat sig förståndig i det förflutna.

– Om du kan visa att du har gjort din hemläxa och ansträngt dig för att verkligen följa reglerna, och överträdelsen handlar om något som skett oavsiktligt, då ses det i det sammanhanget, säger Carolina Brånby.

Magnus Lundberg, jurist på TCO, poängterar att det ännu inte går att säga hur lagen kommer slå ut i praktiken.

Ett extra osäkerhetsmoment blir att Datainspektionen inte äger tillsynen och tolkningen själv på samma sätt som man gjort tidigare.

– I vissa delar är den tydlig eftersom man överfört gamla regleringar från det tidigare direktivet till den nya förordningen, och de vet vi hur de ska tolkas på nationell nivå. Ett extra osäkerhetsmoment blir att Datainspektionen inte äger tillsynen och tolkningen själv på samma sätt som man gjort tidigare. I och med att det är en förordning så är tanken att den ska tillämpas på samma sätt i hela EU, säger Magnus Lundberg till Arbetsvärlden.

Det innebär att tillämpningen kommer behöva utkristalliseras över tid – en ganska skrämmande tanke för de aktörer som riskerar de stora bötesbeloppen. Enligt Magnus Lundberg har dock facken förberett sig väl.

– Vi har dragit igång ett nätverk för TCO-förbunden och hållit utbildningar för TCO, LO, Saco. Vi har tillsatt arbetsgrupper och gjort en rättsutredning som TCO-förbunden varit inblandade i och som behandlar många av de frågor som blir relevanta för fackrörelsen, säger Magnus Lundberg.

Också TCO:s hemsida fick en omgörning under hösten. Den fackliga centralorganisationen såg över vad för information som skickas vidare via analysverktyg som Google Analytics, och täppte till.

Ett orosmoment är att förordningen skulle kunna missbrukas för hämnd

Men bland alla de aktörer som i dag har hand om personuppgifter av olika slag så tror Magnus Lundberg att det blir oundvikligt att GDPR skördar en del offer.

– På grund av den här förordningens omfattning så kommer det kanske inte vara 100 procent regelefterlevnad överallt, det tror jag är omöjligt; särskilt som förordningen innehåller en del nyheter som vi inte riktigt vet hur de ska tolkas, säger Magnus Lundberg.

Ett orosmoment är att förordningen skulle kunna missbrukas för hämnd mot en aktör som orsakat något missnöje, där en personen exempelvis begär att alla uppgifter raderas i förhoppning om att blotta en överträdelse.

– Men rätten att bli glömd är inte absolut, du kan exempelvis inte begära att uppgifter plockas bort som behövs för att en motpart ska kunna uppfylla ett avtal gentemot dig, säger Magnus Lundberg.

Kommer vi se många stora bötesbelopp dömas ut i den närliggande framtiden?

– Man kan föreställa sig att möjligheten att döma ut vitesbeloppen kommer användas initialt för att visa att man menar allvar. Det finns ett problem med den här lagstiftningen som är en ”One-size-fits-all”-lösning; den här lagstiftningen träffar Google, Finansförbundet och IFK Gnarp på samma sätt. Med det sagt så tror jag att de största bötesbeloppen är reserverade för större aktörer, säger Magnus Lundberg.

15 jan 2018 | 06:00

Relaterad läsning

Kommentera
Kommentera
Hämtar fler artiklar
Få koll på de senaste nyheterna och åsikterna om arbetsmarknaden!
Nyhetsbrev