EU-gemensam dataskyddsförordning
Förhandlingarna mellan Europeiska kommissionen, Europaparlamentet och Europeiska unionens råd rörande dataskyddsförordningen är nu avslutade.
SWEDMA har redan läst den slutgiltiga överenskommelsen och gjort en kortfattad första analys. SWEDMA återkommer senare med en fullständig genomgång och analys av hela materialet.
Inget opt-in: Den överenskomna formuleringen om samtycke liknar den som finns i det nuvarande direktivet och man undviker därmed utvecklingen av systematiska strikta opt-in-lösningar. Företagare bör kunna hålla en viss flexibilitet i hur man samlar in medgivande, samtidigt som man kommer att ställa högre krav på att individen har informerats på ett korrekt sätt. Informationen om vad man vill göra med personuppgifterna ska presenteras separat och med ett lättförståeligt språk. Om man gör det obligatorisk för individen att lämna ut sina personuppgifter, måste man använda sig av ett annat separat samtycke för all annan behandling än det som krävs för att leverera den överenskomna varan eller tjänsten. Med detta menas att man måste ha ett separat samtycke för att få använda de insamlade uppgifterna för bland annat marknadsföring.
Legitimt intresse kvarstår: Det kommer även i framtiden att vara möjligt för företag att få tillgång till personuppgifter via det legitima intresset (att jämföras med dagens intresseavvägning). Europaparlamentet har fått ge efter på sin strikta tolkning med krav på opt-in. I den slutliga versionen återfinns en formulering som liknar intresseavvägningen i det befintliga direktivet – det vill säga att företagare kan få tillgång till uppgifter utan att systematiskt behöva använda sig av opt-in. Denna bestämmelse kompletteras dock av ett par punkter i kommentarerna till förordningen. Det framgår att behandling av personuppgifter för direktmarknadsföring är att anse som legitimt intresse. Samtidigt måste företag tydligt klargöra för individen vars personuppgifter man samlar in, att uppgifterna kan komma att lämnas ut till andra.
Profilering kommer att vara möjligt utan samtycke: Till skillnad från den tidigare formuleringen av profilering (det vill säga bland annat segmentering och selektering) som föreslogs av Europaparlamentet lyckades man få fram en balanserad lösning. Det finns inget krav på aktivt samtycke för profilering. Samtidigt kommer man som insamlande företag att vara tvungen att aktivt informera om möjligheten om att tacka nej till profilering. SWEDMA gjorde en längre analys av detta den 4 december.
Böter på upp till 4 procent: Enligt kompromissen kommer man att kunna få böta upp till 4 procent av ett företags globala omsättning om man bryter mot förordningen. Fram tills nu har vi trott att denna procentsats skulle hamna på 2 procent, men man valde alltså att närma sig Parlamentets krav om 5 procent.
Krav på obligatorisk Data Protection Officer: Alla företag ska ha ett personuppgiftsombud (Data Protection Officer) om databehandling är en del av företagets kärnverksamhet, oavsett storlek på företaget.
One-stop-shop: Enligt förslaget till förordning kommer det att skapas en så kallad ”One-stop-shop” dit man som individ eller företag ska kunna framföra sina klagomål mot ett företags agerande om företaget återfinns i en annan medlemsstat. Frågan är hur effektiv denna instans kommer att vara då de nationella dataskyddsmyndigheterna i viss utsträckning var och en för sig även framgent kommer att kunna utreda gränsöverskridande fall, vilket i praktiken begränsar fördelarna med ”One-stop-shop”-systemet.
Barn = personer under 16 år: Förordningen definierar barn som personer under 16 år. För att få behandla barns personuppgifter kommer man att behöva målsmans samtycke. Dock ger texten enskilda medlemsstater möjligheter till att via lagstiftning sänka ålderskravet till så lågt som 13 år. Denna möjlighet kan komma att skapa förvirring eftersom företag som exempelvis aktivt arbetar i sociala medier, kan komma att placera sig i de mest liberala medlemsstaterna och därigenom kunna samla in personuppgifter från barn mellan 13 och 16 år utan att behöva målsmans medgivande.
Nästa steg
Även om förslaget tar ett stort steg framåt, innebär inte detta slutet på lagstiftningsarbetet. EU-parlamentets utskott för medborgerliga rättigheter kommer redan i morgon, torsdagen den 17 december, att genomföra en bekräftande omröstning. Förutsatt att förslaget till förordning godkänns av utskottet kommer man sedan att genomföra en omröstning i plenum under början av det nya året. Därefter ska förordningen slutligen godkännas av EU:s alla medlemsstater innan dess bestämmelser börjar införlivas direkt i respektive medlemsstat nationella lagstiftning.
En bra balans
– Vi är oerhört nöjda och lättade över att man har lyssnat på oss i näringslivet. I den nya dataskyddsförordningen har EU hittat en balans mellan näringsliv och konsumenter. Under den mångåriga processen fanns inledningsvis förslag som hade kunnat påverka näringslivets möjligheter mycket negativt, vilket i slutänden hade drabbat även konsumenter och samhället i stort. Det slutgiltiga förslaget ligger väldigt nära den situation vi har i Sverige idag. Den primära skillnaden är att företag måste bli bättre på att informera om vad som gäller, om hur samtycken ska användas och hur de avser att behandla de uppgifter de samlar in. Det anser vi är positivt, säger Tore Thallaug, vd för SWEDMA.
Källa: www.swedma.se