Februari 2018. I en fullsatt föreläsningslokal sitter företrädare för små och medelstora företag. Det är bara några månader kvar innan EU:s nya dataskyddsförordning, GDPR, ska träda i kraft i maj. Företagarna är bekymrade inför det omfattande arbete som ligger framför dem. Register ska uppdateras, godkännanden samlas in och nya rutiner införas. Straffet för den som smiter från uppgiften avskräcker. Men så kommer den föreläsande konsulten med ett oväntat budskap: han berättar att Datainspektionen som kontrollerande myndighet har ytterst begränsade möjligheter att kontrollera om lagen efterlevs.

Risken att åka fast är minimal.

Träffar som i exemplet ovan har de senaste månaderna genomförts av främst konsultföretag i syfte att förbereda inför företagens deadline den 25 maj. Och syftet med GDPR är att modernisera det tidigare EU-direktivet från 1995 som den svenska personuppgiftslagen PUL bygger på. Privatpersoner ska ha större kontroll över vilka uppgifter om dem som lagras hos vilken aktör, och det ska även bli möjligt att bli ”glömd” och få sina uppgifter raderade. Modellen utgår från aktivt samtycke, det vill säga att en kund måste ge sitt godkännande innan ett företag får lagra uppgifter om henne. Lagen omfattar alla företag som verkar inom EU, och innebär ett steg framåt för den personliga integriteten.

Så långt är allt bra. Och att många svenska företag just nu sliter med sina GDPR-förberedelser råder det inga tvivel om. I privatpersoners fysiska och elektroniska brevlådor kommer uppmaningar att gå in på nätaktörers hemsidor och godkänna fortsatt lagring av personuppgifter. Men det är långt ifrån säkert att alla bolag följer de nya, striktare reglerna. Det är därmed de uppmaningar som inte skickas som borde uppmärksammas.

Annons

Vilka det rör sig om är oklart. Vi lär heller inte få veta vilka de är, och det är där problemet ligger. Datainspektionen är den myndighet som har hand om förberedelserna inför och kontrollerna efter genomförandet. Ett fåtal tjänstemän hjälper på olika sätt svenska företag att vidta de åtgärder som behövs, och färre än 50 tjänstemän kommer delvis att jobba med att kontrollera att företag följer den nya lagen. Myndigheten har fått ökade anslag för uppgiften, men flaggade i slutet av förra året för att det behövdes mer resurser.

Det är ett rimligt krav. För samtidigt som bolag riskerar böter på upp emot fyra procent av omsättningen, har Datainspektionen små möjligheter att upptäcka smitare. Det är olyckligt av främst två anledningar: Dels kan det leda till att den personliga integriteten åsidosätts när ett fåtal aktörer låter bli att se över sina register. Dels riskerar det att leda till sänkt förtroende för myndigheter om fusket uppdagas.

Mars 2018. Medelsvenssons med Facebookkonto får ett bryskt uppvaknande när skandalen om Cambridge analytica briserar. Frågan om personlig integritet är nu mer aktuell än någonsin, och medborgarna förväntar sig hård kontroll av aktörer på internet.

Det vore olyckligt om flertalet hårt arbetande småföretagare som vill göra rätt för sig skulle misstänkliggöras för att myndigheternas kontroll brister.

Nu är ett bra tillfälle att ge Datainspektionen tillräckligt med resurser.

EU