Vad är det egentligen vi väntar på?
Snart har två år gått sedan Kommissionen presenterade förslaget till dataskyddsförordning. Sedan dess har förslaget diskuterats och bearbetats intensivt av EU:s lagstiftande organ och många har tyckt till om dess innehåll och presenterat förslag till ändringar. I år ser vi med särskilt intresse fram emot att se om Rådet och Europaparlamentet lyckas enas om utformningen av förslaget till dataskyddsförordning så att förordningen kan antas. Som bekant finns det en förhoppning om att förordningen ska antas under våren 2014 (före EU-valet i maj) men från flera håll uttrycks oro över att förordningen kan komma att försenas. Säkerligen upplever många processen som mycket långdragen och komplicerad och kanske är det på sin plats att påminna oss om vilka skillnader förordningen rent principiellt innebär jämfört med de regler som tillämpas idag. Med detta inlägg vill vi därför så här i början av året passa på att fräscha upp minnet – vad är det egentligen vi väntar på?
Förslaget till förordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet, men innehåller även en rad nyheter. Vi har hittills skrivit om några av de viktigaste förändringar som ett antagande av förslaget till förordning skulle innebära. Som du har kunnat läsa innehåller förslaget till förordning generellt sett striktare regler och skyldigheter för personuppgiftsbehandling, vilket medför ett stärkt skydd och utökade rättigheter för den enskilde. De striktare reglerna medför på många sätt en ökad administrativ börda för de företag, myndigheter och organisationer som behandlar personuppgifter i sin verksamhet, och dessutom betydligt mer ingripande sanktioner mot agerande i strid med förordningens regler.
Enligt Kommissionen kommer dataskyddsförordningen medföra fördelar för såväl företag som för enskilda. Kommissionen har uttalat att förslaget till förordning, om den antas i sin nuvarande form, skulle kunna leda till besparingar för företagen inom EU om ca 2,3 miljarder euro per år. Detta genom att förordningen undanröjer dagens splittrade reglering inom EU och de stora administrativa kostnader som den innebär. Kommissionen bedömer även att förordningen kan leda till att konsumenternas förtroende för onlinetjänster ökar, vilket i sin tur kan medföra en ökad tillväxt och sysselsättning i Europa. Däremot kommer det nya kravet på anlitande av personuppgiftsombud som förordningsförslaget innehåller att leda till en smärre kostnadsökning för större företag och myndigheter.
Dataskyddsförordning vs. Dataskyddsdirektiv
Förutom de förändringar som dataskyddsförordningen innebär rent innehållsmässigt är det faktum att det är just en förordning den allra största skillnaden jämfört med den nuvarande regleringen. Förordningen avser att ersätta det direktiv – dataskyddsdirektivet – som idag ligger till grund för dataskyddslagstiftningen i EU:s medlemsländer. Skillnaden mellan en förordning och ett direktiv är att en förordning får direkt effekt och gäller såsom lag i alla EU:s medlemsländer. Ett direktiv däremot implementeras i medlemsländernas nationella lagstiftning. Det innebär att ett direktiv kan implementeras på olika sätt av EU:s medlemsländer, vilket kan medföra varierande tillämpning och effekt i de olika medlemsländerna.
Förordningen får alltså direkt effekt när den antas och gäller såsom lag i samtliga EU-länder. För Sverige innebär det att förordningen ersätter personuppgiftslagen (PUL) och i princip all övrig nationell personuppgiftsreglering. Dataskyddsdirektivet trädde ikraft 1995 och implementerades i Sverige genom PUL år 1998. Som vi kan förstå utgår den lagstiftning som finns idag i huvudsak ifrån en helt annan teknisk miljö än den vi har idag. I takt med den tekniska utveckling som skett med nya produkter och tjänster som på många sätt innebär nya utmaningar för skyddet för personuppgifter såsom smartphones, cloud computing och sociala medier, har reglerna kring personuppgiftsskydd blivit allt svårare att tillämpa. De nuvarande reglerna i dataskyddsdirektivet är vagt utformade och öppna för tolkning, vilket gör att tillämpningen av reglerna ser olika ut i olika länder inom EU. Det är därför välkommet att man på EU-nivå nu söker finna en mer enhetlig reglering när det kommer till personuppgiftsskydd i och med det pågående arbetet med dataskyddsförordningen. Internet är dock världsomspännande så en betydligt mer omfattande process får ännu sägas ligga i framtiden, att enas om fler lösningar med större räckvidd och utifrån större perspektiv. Det dröjer sannolikt lång tid innan vi kommer dit, särskilt med tanke på hur omfattande och tidskrävande processen inom EU hittills varit med den kommande dataskyddsförordningen och för Rådet och Europaparlamentet att enas om ett gemensamt förslag. Huruvida förslaget till förordning kommer att antas nu i vår eller inte återstår att se. Vi följer utvecklingen och ser med särskild spänning fram mot dataskyddsåret 2014.