Axel Voss, tysk europaparlamentariker, även kallad GDPR:s fader, anser att det är dags för en ordentlig översyn av EU:s integritetsskydd knappt tre år efter att det införs, ett skäl är att vi numera jobbar hemifrån.
Dataskyddsförordningen GDPR har ansetts som klumpig och besvärlig för många småföretagare. Men nu kan den bli ännu besvärligare. Det nya sättet att arbeta hemifrån under pandemin har ritat om spelplanen för GDPR. Bäst före-datumet tycks ha gått ut efter knappa tre år.
När GDPR började tillämpas för tre år sedan var det framför allt småföretagare som svettades. Ett exempel: Min dotter fick ett vikariat hos ett mindre rekryteringsföretag 2018. Det första hon sattes att göra var att mejla eller ringa 70 000 personer i firmans register vilka, enligt GDPR, måste godkänna att deras uppgifter finns kvar hos rekryteringsföretaget. Detta måste göras varje år. Numera klarar en automatiserad tjänst av detta – till alla vikariers glädje.
En lista på kandidater som lämpar sig för ett särskilt jobb och som skickas över till en potentiell arbetsgivare omfattas också av GDPR. För att slippa be om tillstånd hos alla kandidater ytterligare en gång väljer rekryteringsfirman att länka uppdragsgivaren direkt till Linkedin eller Gritify där kandidaterna redan lagt upp sina karriärsbeskrivelser frivilligt.
Det här är bara ett problem som små bolag, med ett fåtal anställda, stöter på när GDPR ska omsättas i praktiken – även om syftet med GDPR är gott. Förordningen kom till för att skydda den enskilda medborgarens grundläggande rättigheter och friheter och särskilt deras rätt till skydd av personuppgifter. Den har också förstärkt enskildas rättigheter med möjlighet att vända sig till en myndighet och klaga om rättigheterna inte respekteras. I Sverige heter myndigheten Integritetsskyddsmyndigheten (IMY). Den ersätter den tidigare Datainspektionen.
GDPR är en EU-förordning som röstades igenom av EU-parlamentet och därmed blev direktverkande i samtliga 28 EU-länder den 25 maj 2018. Den införlivades i svensk lag och har ersatt den svenska personuppgiftslagen (PUL).
Men pandemin, som lett till att allt fler jobbar hemifrån, innebär att GDPR behöver utvidgas. Europa-parlamentsledamoten Axel Voss, även kallad GDPR:s fader, uttrycker i Financial Times (3 mars) att det är dags för en översyn av dataskyddsförordningen GDPR. I en post covid-värld är förordningen för gammal. Den är inte gjord för att hantera hemmakontor, ansikts- och röstigenkänning eller blockkedjeteknik. Antalet klagomål till Integritetsskyddsmyndigheten har, paradoxalt nog, kanske på grund av pandemin, minskat.
Rätten att bli glömd kan kosta 75 miljoner kronor
Till och med mitten av mars i år har Integritetsskyddsmyndigheten mottagit 513 klagomål som rör GDPR. För hela förra året var antalet cirka åtta gånger så många. Sedan förordningen trädde i kraft har Integritetsskyddsmyndigheten tagit emot mer än 9 000 klagomål som rör GDPR, inkassolagen, kreditupplysningslagen, brottsdatalagen, patientdatalagen och kameralagen.
Förra året utfärdade Integritetsskyddsmyndigheten det högsta enskilda bötesbeloppet på 75 miljoner kronor till Google LCC, Googles amerikanska moderbolag. Totalt utfärdade myndigheten böter om 150 miljoner kronor under 2020.
Orsaken till det stora bötesbeloppet var att Google inte hade följt ett tidigare beslut tillräckligt snabbt. Det handlade om att ta bort ”sökträffar” på tre personers namn med känsliga uppgifter som bland annat rörde lagöverträdelser. De tre personerna är bosatta i Sverige. Det finns en artikel 15 i GDPR som heter ”Rätten att bli glömd”. Sökmotorleverantören ska själv bedöma om det finns ett allmänintresse av att informationen ska ligga kvar. Sajter med personuppgifter som Mr Koll eller Eniro klarar sig från att GDPR-granskas eftersom de har ett utgivningsbevis. Därmed omfattas de av yttrandefriheten.
Storebror ser dig
Men det har uppstått flera nya intressanta fall under pandemin.
– Vi har en pågående granskning av kamerabevakning hos H&M på deras lager i Borås, hundratals anställda berörs, berättar Gustav Linder som är jurist på Integritetsskyddsmyndigheten.
Det var en före detta anställd som lämnade klagomålet. Myndigheten har en liknande granskning på gång hos Apotea och deras lager i Morgongåva efter ett reportage i ETC.
– Både H&M och Apotea har uppgivit att kamerorna har satts upp i brottsbekämpande syfte. Hittills har vi inte fått några uppgifter från bolagen om hur mycket svinn som har ägt rum på lagren, säger Gustav Linder.
Myndigheten undersöker om kamerabevakningen har använts för att övervaka och leda personalen och om bildmaterialet har spelats in eller inte. Enligt GDPR är det förbjudet att arbetsleda personalen via en kamera. Om arbetsgivaren vill filma personalen bör hen ha dokumenterat att det finns problem med stölder.
– Utredningen pågår, vi fattar beslut inom ett halvår, säger Gustav Linder. Då vet vi om arbetsgivarens syfte väger tyngre än personalens rätt till skydd av sin personliga integritet.
Login på jobbdatorn hemma kan vara ett minfält
Axel Voss hävdar att GDPR behöver någon form av kirurgiskt ingrepp trots att det inte gått mer än tre år sedan den trädde i kraft – och innan den ska röstas igenom som en gyllene standard för resten av världen.
– GDPR är en succé även utanför EU. Sydkorea, Japan, Brasilien och även delar av USA vill kopiera det europeiska GDPR, säger it-veteranen Anders Jonsson vars företag SecureAppbox blir det första svenska att ingå i EU:s arbetsutskott för utformning av ett nytt regelverk kring molnsäkerhet. Han håller med Axel Voss, den EU-parlamentsledamot som arbetat mest med förordningen, om att utvecklingen går fort.
Båda är övertygade om att GDPR bör förbättras.
– Hänsyn behöver tas till det allt vanligare hemmaarbetet men också framväxten av många nya teknologier, varnar Voss. GDPR är inte anpassad till vare sig artificiell intelligens, blockkedjor eller text- och datautvinning.
Axel Voss säger till Financial Times att den digitala världen handlar om innovation. GDPR kan därför inte fortsätta att bygga på principer från 1980-talet.
– Om GDPR skulle följas bokstavligen är den ett riktigt minfält för människor som arbetar utanför sina kontor och använder mjukvara som identifierar dem för en rad tjänster med ett unikt login, säger han.
– Det är svårt att förstå vilka legala frågor som gäller för dataskydd i ett privat hem.
Enligt honom måste förordningen gås igenom mycket noggrant, ett synsätt som delas av hans parti EPP (European People’s Party), den koalition som inkluderar Angela Merkel. Läs även artikeln här intill där Jörgen Warborn, svensk moderat politiker, och EU-parlamentariker från samma parti som Axel Voss, ger sin syn.
EU-kommissionen nöjd med GDPR
EU-kommissionens talesman Christian Wigand säger sig dock vara nöjd med GDPR-lagen. Den har givit mer makt till EU:s medborgare, och mer än 70 procent av medborgarna känner till den.
– Vi vill inte ha några förändringar vad gäller GDPR, den uppfyller vad vi vill, säger han.
Men problemet återstår. Den nya tekniken går framåt men lagstiftaren ligger alltid några steg efter. Det uppkommer nya situationer i och med att människor i allt högre grad kopplar upp sig hemifrån.
Inspelning av videomöten som Teams eller Zoom-möten – ingen nämnd, ingen glömd – handlar om en form av personuppgiftsbehandling och denna faller under GDPR-förordningen, det vill säga att den spelaren i ett sådant möte måste ha ett tillstånd från samtliga mötesdeltagare. Det går att bortse från den rättsliga grunden och skyldigheten att informera endast om inspelningen utförs för journalistiska ändamål. De andra fyra fallen följer GDPR: s rättsliga grunder: om samtliga på mötet givit sitt samtycke, om inspelningen är nödvändig för någon form av avtal, om inspelningen behövs för ett bildighetsutövande och om ens eget behov väger tyngre än de andra personernas rätt till integritetsskydd. I samtliga fall är det den personuppgiftsansvarige arbetsgivaren och inte den enskilde medarbetaren som är ansvarig för personuppgifterna. Arbetsgivaren ska informera om varför videomötet äger rum och om informationen sparas. De mötesdeltagare som ovetande spelats in och känner att deras integritet har kränkts kan klaga till Integritetsskyddsmyndigheten.
H&M fick böter på 35 miljoner euro
H&M är också aktuellt i ytterligare ett GDPR-fall från oktober 2019. Ärendet som nu är avslutat fanns hos Dataskyddsmyndigheten i Hamburg, en av Tysklands elva lokala Dataskyddsmyndigheter. Klädbolaget dömdes 2020 till böter på 35 258 708 euro vilka H&M nu har betalt. 50 chefer lagrade otillbörlig information om de anställda och tog beslut grundade på denna. H&M ska därför be de anställda om ursäkt, betala ut skadestånd och ändra rutinerna. Det var en slump att H&M:s övertramp uppdagades. På grund av ett tekniskt datafel i oktober 2019 som pågick i flera timmar hos H&M kunde de anställda se den information som cheferna lagrat om dem sedan 2014.
Informationen gick utöver det normala. H&M:s servicecenter i Hamburg hade bland annat samlat information om de anställdas sjukdomsdiagnoser, köpvanor, religiös övertygelse, familjeproblem – allt detta kunde läsas av så många som 50 chefer på bolaget: ”Mängden data om personalen, som var tillgänglig för hela ledningen, visar på en omfattande kartläggning av de anställda. Vi har inte sett något jämförbart under de senaste åren”, säger Johannes Caspar vid den tyska Dataskyddsmyndigheten i ett citat från tidningen Arbetaren i januari förra året.
Säkra molntjänster
En tidning som vill använda tjänster som till exempel Google Analytics, vilken analyserar antalet läsare och sidvisningar, måste informera sina läsare om detta och då använda en extern leverantör som eventuellt får del av IP-adresser – eller så måste IP-adresserna anonymiseras. IP-adresser är också personuppgifter. GDPR-frågan uppkommer så fort det blir en insamling av personuppgifter och när det blir en överföring av denna information. En IP-adress – Internetprotokoll Adress – är ett nummer som används som adress på internet och identifierare och viss dator eller annan apparat. Adressens första del visar till vilket nätverk dator är kopplad.
Anna Sundberg, produktchef på den digitala plattformen för företagsjuridik, PocketLaw, upplyser om fallet med Amazon Web Services (AWS). Som förälder kan det intressera att veta att det är molntjänsten Amazon Web Services som står för den största delen av Amazons vinst – och ofta har gjort så. Det är tack vare Amazon Web Services kassaflöden som grundaren Jeff Bezos kunnat investera i detaljhandeln, logistiken och AI – och bygga e-handelsjätten Amazon.
Amazon Web Services är en infrastrukturell dataleverantör som har dataservrar i många europeiska länder. I Sverige har Amazon servrar i Katrineholm, Västerås och Eskilstuna och mellan dessa går höghastighetsnätverk. Om en server förstörs finns uppgifterna lagrade på de övriga två. Men hur riskfyllt är det för ett bolag att lagra sina uppgifter på Amazon i Sverige? Förs allting över till USA?
Amazon Web Services är oslagbar
– Det är olagligt att överföra data till USA efter EU-domen Schrems II (se faktarutan) som kom förra året, säger Anna Sundberg. Hon förklarar varför sådan överföring ändå pågår.
– Det tidigare Privacy Shield, avtalet som tillät företag i EU att föra över personuppgifter till företag i USA, är nu olagligförklarat. Det beror på att datan i teorin skulle kunna behöva delas med amerikanska myndigheter mot bakgrund av bland annat Cloud Act: Brottsbekämpande myndigheter i USA kan begära ut information om en amerikansk medborgare, var den än är lagrad.
– Anledningen till att väldigt få bolag nu flyttar sin data från Amazon Web Services är för att det inte finns några likvärdiga tjänster med samma säkerhetsgarantier inom EU.
Det finns mindre europeiska aktörer men ingen är lika heltäckande ur säkerhetssynpunkt som Amazon. I Sverige finns till exempel svenska Safespring, City Network och Binero.
– Och risken för att amerikanska myndigheter begär ut information från Amazon är mycket liten, säger Anna Sundberg.
Amazon Web Services Sverige är en europeisk aktör med ett amerikanskt moderbolag och omfattas därför inte av Cloud Act.
– Det är en djungel, säger en annan jurist om GDPR. Det finns väldigt många regler att förhålla sig till, inte minst vad gäller vilka uppgifter som livbolagen får behålla. Och vi sitter i knäet på EU.
Men det gäller att navigera rätt, den som bryter mot GDPR kan få böter på högst 20 miljoner euro eller fyra procent av bolagets globala omsättning.
FAKTA | GDPR
GDPR: General Data Protection Regulation.
Cybersäkerhetsstrategi: EU-presentatör 2013 och långsiktig Cybersäkerhetsstrategi som innehåller tre delar 1) Ökat skydd av EU medborgares personuppgifter (GDPR); 2) Ökat skydd för viktiga samhällstjänster (Network Information Services NIS); 3) Ökad säkerhet för anslutna produkter, tjänster och kritisk infrastruktur genom ett ramverk för cybersäkerhetscertifiering (Cybersecurity Förordningen). Den 10 december 2018 godkände EU den nya förordningen om cybersäkerhet. Europeiska unionens byrå för cybersäkerhet (ENISA) har EU:s mandat att genomföra och se till att förordningen efterlevs.
Schrems II (16 juli 2020): den österrikiska internetaktivisten Max Schrems överklagade att hans uppgifter på Facebook lagrades i Irland för att sedan skickas vidare och lagras i USA. Han ville ha reda på vilka uppgifter om honom som hamnade på andra sidan Atlanten. Han fick 1 200 sidor med uppgifter om sig själv. Efter drygt sju år vann han i EU-domstolen. Facebook Irland får därmed inte längre föra över personuppgifter från europeiska användare till USA. Eftersom det inte finns någon generell regel längre, Privacy Shield gäller inte längre, så måste varje fall granskas individuellt, det vill säga vilken typ av tredje lands-överföring som görs och vad de europeiska överförarna kan garantera.
Cookies: de elektroniska kakorna styrs av lagen om elektronisk kommunikation och lyder under Post-och telestyrelsen (PTS). En cookie är en liten textfil som införs på din dator när du går in på en hemsida, det handlar om marknadsföring, du har i princip godkänt reklam nästa gång du går in på samma hemsida. Cookien minns din IP-adress, det finns en skyldighet att informera om vad cookies används till men vem orkar göra en selektion, de flesta klickar bara ”godkänn”. Om cookies används för att samla in personuppgifter krävs att GDPR-förordningen följs, till exempel om uppgifterna skulle säljas vidare till ett marknadsföringsföretag.
TEXT: Margaret von Platen