Färre 1% av Europas befolkning använde internet 1995, då den nuvarande dataskyddslagstiftningen infördes. Sedan över 10 år har EU-institutionerna arbetat för att uppdatera diverse regler för att bättre reflektera vår verklighet, där online och offline blir alltmer sammankopplade. Enligt EUs stadga on de grundläggande rättigheterna (2009) är dataskydd just en grundläggande rättighet. I slutet av maj börjar EUs Dataskyddsförordning (General Data Protection Regulation: i denna post kallad GDPR) att gälla. Dataskyddsförordningen innebär en radikal förändring av regelverket och en utmaning för den digitala ekonomin som är globaliserad och gränslös.
I Sverige ersätter GDPR personuppgiftslagen (PUL) och betyder en stor skärpning av hur personuppgifter ska hanteras. Framförallt ställs höga krav på att samla in samtycke från de personer vars uppgifter används och strikta regler för vad man får använda dessa uppgifter till. Dessutom- något som satt skräck i företag som förbereder sig för lagändringen- svenska Datainspektionen kan straffa dem med sanktioner på upp till 20 miljoner euro eller 4% av företagets globala årsomsättning om man bryter mot reglerna.
I Bryssel känns det som vi diskuterat GDPR-processen hur länge som helst. Kommissionen kom med sitt förslag redan i januari 2012 men det tog nästan fem år innan förhandlingarna gick i mål. Diskussionerna var kontroversiella och de olika sidorna låg stundtals oerhört långt ifrån varandra. I Europaparlamentet la politiker fram över 4000 förslag till ändringar på kommissionens förslag och bland medlemsländerna rådde det också stora skillnader i synen på hur höga sanktioner som överträdelser ska resultera i, på vilken juridisk bas man ska kunna behandla personuppgifter och huruvida individer ska kunna begära att information om en själv tas bort från internet.
Kritiker av den nya dataskyddsförordningen pekar på dess konsekvenser på europeisk konkurrenskraft. Om EU som ensam aktör inför mycket hårdare regler för användning av dataskydd medan resten av världen är mer tillåtande, skulle det göra det svårare för europeiska företag att utveckla nya data-baserade tjänster och innovativa lösningar. Företag har pekat på de enorma kostnaderna för att ta fram helt nya interna system för datainsamling och hantering som deras utländska konkurrenter slipper.
Amerikansk avund på Europeiska regler
Med sin utformning får GDPR redan den effekt att reglerna gäller för alla företag globalt givet att de hanterar europeiska medborgares personuppgifter. I den bemärkelse påverkar implementeringen av reglerna hela det digitala ekosystemet, som till stor del bygger på data som skapas av konsumenter och användare av digitala tjänster. Allt detta är ju alltså sedan gammalt. Men det intressanta är vad som hänt under den senaste månaden, då skandalen med Cambridge Analytica- som lyckats komma åt miljontals Facebookanvändares data- lett till att GDPR uppnått globalt kändisskap.
Under utfrågningen av Facebookgrundaren Mark Zuckerberg i den amerikanska kongressen så trendade GDPR på Twitter, och kongressledamöterna verkade tävla med varandra om att hänvisa till de europeiska reglerna flest gånger- trots att de flesta av dem förmodligen aldrig tidigare hört talas om GDPR. I USA har GDPR fram tills nu snarare fungerat som en nedlåtande illustration över Europas regleringsiver. ('The US innovates, the EU regulates' är en vanlig maxim som används på båda sidor om Atlanten). Men nu skriver den tidigare ordförande för amerikanska myndigheten Federal Communications Commission, Tom Wheeler i New York times om hur EU tar ledarrollen vad gäller integritetsskydd. Klart att Wheeler är bitter, då han själv för två år sedan, försökte driva igenom striktare regler också i USA, utan framgång. Den demokratiska kongresskandidaten Alexandria Ocasio-Cortez gick ut och efterfrågade en amerikansk GDPR.
Såklart är detta helt oemotståndligt för europeiska politiker och tjänstemän som sedan 2016 slagit sig själva för bröstet för sig arbete med GDPR, men mötts av suckar från resten av världen. EU Kommissionens talesperson Margit Schinas twittrade att alla européer som följde utfrågningen av Zuckerberg kunde känna sig stolta över den europeiska unionen som skyddar sina medborgare. Europaparlamentet har officiellt bjudit in Mark Zuckerberg för att svara på frågor från europeiska folkvalda, och man kan bara tänka sig vilket jippo det skulle bli. Parlamentet verkar tycka att Zuckerberg personligen har skymfat EU och den makt parlamentet har som medlagstiftare till Dataskyddsförordningen. (Såvitt jag vet har ingen bjudit in Cambridge Analyticas nyligen avgågne VD Alexander Nix...). Drömmen skulle väl vara en utfrågning av Zuckerberg vid Strasbourg-sessionen veckan efter GDPR träder i kraft?!
Kanske förtjänar ändå EU en ryggdunk för sin framsynthet i frågan om dataskydd och dess betydelse för européerna? Eller bör sådant cred gå direkt till Martin Selmayr och Jan Philipp Albrecht, som pekats ut som ansvariga för GDPRs födsel respektive målgång? Oavsett hur rimliga man tycker kraven som fastställs i EUs Dataskyddsförordning är, åtnjuter de europeiska beslutsfattarna just nu sina länge efterlängtade dagar i solen. Sämre går det för de europeiska företagen, som inom en månad förväntas ha byggt om sina datahanteringssystem från grunden. Europeisk media överflödas av rapporter som vittnar om att den stora majoriteten företag fortfarande inte är klara med sina förberedelser inför den 25 maj. Men vad gör väl det- så länge EU vunnit sin första digitala kamp mot USA...?
