DEBATT – av Anna Eidvall, advokat och integritets- och dataskyddsgruppsansvarig och Cecilia Rossing advokat och Legal Director på MAQS Advokatbyrå.
Integritetsskyddsmyndigheten, IMY, publicerade nyligen sin Integritetsskyddsrapport för 2020. Rapporten ger stöd för vad som egentligen är uppenbart; hållbar digitalisering är en mänsklig rättighet och en förändring av nuvarande praxis är nödvändig. Men vad innebär hållbar digitalisering?
”Kärt barn har många namn” och precis som att begreppet personlig integritet saknar en enhetlig definition gör begreppet hållbarhet detsamma. Hållbarhet är nära förknippat med klimat och miljö, men omfattar även sociala och ekonomiska aspekter. Ett annat begrepp som också används ofta för att beteckna hållbarhetsfrågor är ESG (den engelska akronymen för Environmental, Social and Governance). FN har antagit 17 globala mål för hållbar utveckling som inkluderar samtliga dessa områden. Med hållbar utveckling avses ”en utveckling som tillfredsställer dagens behov utan att äventyra kommande generationers möjligheter att tillfredsställa sina behov”. Likaså är ett gott skydd för den personliga integriteten en hållbarhetsfråga, eftersom system och processer som skapas nu för att utvinna och använda data (inklusive personuppgifter) måste möjliggöra för nuvarande men även för kommande generationer att utnyttja sina rättigheter.
Skydd av personlig integritet handlar om den enskildes rätt till privatliv och rätten till självbestämmande. Det innebär mer konkret att alla har rätt att vara ifred, att ha en säker plats där man kan lyfta och utbyta tankar och idéer utan risk för att de delas med andra – om man inte vill det. Alla ska ha rätt att själv kontrollera uppgifter som rör en själv, vem som tar del av dem och använder uppgifterna samt i vilket syfte. Poängen med ett starkt integritetsskydd är att den enskilda individen ska ha rätt att välja om hen vill, eller inte vill, dela uppgifter om sig själv med andra.
Dataskyddsreformen har lett till att det rättsliga skyddet för den personliga integriteten aldrig har varit starkare. Men i en värld där vårt privatliv och sociala interaktioner i allt högre grad sker i digitala miljöer – särskilt i takt med att även vårt arbetsliv flyttas över till digitala lösningar, ytterligare påskyndat av pågående pandemi – ökar hot och risker för den personliga integriteten i samma utsträckning. Det är därför avgörande att datadriven innovation kombineras med starka insatser för att skydda den personliga integriteten, eftersom tillit till digitala lösningar är avgörande för att på ett hållbart sätt realisera nyttan av digitala investeringar.
I IMYs nationella integritetsrapport 2019 uppgav drygt sju av tio att de känner viss eller stor oro för hur deras personuppgifter används. Någon liknande undersökning finns inte i 2020 års rapport, men enligt Internetstiftelsen ökade denna siffra under 2020 och allt fler angav att de känner oro över att få sin integritet kränkt på nätet. Föga förvånande har känslan av att vara övervakad på nätet vuxit under pandemin.
Faktum är, å andra sidan, att vi har vant oss vid omfattande databehandling och spårning av våra beteenden (särskilt på nätet), även om sådan behandling inte alltid är laglig. Den tekniska innovationens framfart och komplicerade uppbyggnad gör att dataflödena inte endast är oöverskådliga för individen (vilket gör det svårt att utnyttja sina rättigheter) utan även för de företag som är inblandade (vilket gör det svårt att följa regelverket – särskilt om det inte har beaktats från början). Ansvaret för att säkerställa en hållbar digitalisering är samtidigt inte ensidig. Sannolikt krävs en kombination av kraftfull självsanering, skärpt tillsyn och kompletterande reglering. Det är inte rimligt att tro att marknaden kommer självsaneras fullt ut på eget initiativ, även om det kan finnas ekonomiska fördelar på sikt. Men, saknas integritetsperspektivet från början är det en svår och kostsam process att läka brister i efterhand.
Dataskydd måste vara en verksamhetsfråga och en naturlig del av hela organisationen samt varje medarbetares medvetande och vardag, snarare än en kontrollfunktion. Om endast en eller ett fåtal personer i en organisation (t.ex. jurist- eller compliance funktionen) har kännedom om regelverket är risken stor att regelverket inte implementeras fullt ut och definitivt inte efterlevs. Detta är ofta resultatet av just en bristfällig implementering av dataskyddsreformen, något som vi som legala rådgivare inom integritet- och dataskydd ofta stöter på. Denna uppfattning stöds även av IMYs integritetsskyddsrapport som visar att kännedom om och rutiner kring att genomföra konsekvensbedömningar i näringslivet verkar låg samtidigt som IMY bedömer att ungefär hälften av de personuppgiftsincidenter som anmälts till myndigheten sen Dataskyddsförordningen började tillämpas 2018 beror på human error. Dessa kunde sannolikt ha undvikits om de tekniska säkerhetsåtgärderna kompletterats med organisatoriska sådana (t.ex. utbildning, processer/rutiner, etc.).
För att dataskyddsarbetet ska bli effektivt och hållbart krävs att hela verksamheten är involverad liksom nära samverkan mellan bland annat operations, IT/säkerhet, juridik och compliance. Detta kräver i regel ett klart mandat och tydlig uppmärksamhet från ledningen, ofta med särskilt avsatta medel i budgeten. Verksamheten måste redan från början arbeta systematiskt med frågorna, anpassa verksamheten i grunden och bygga in dataskydd som standard (även känt som Privacy by Default och Design) i verksamhetssystem och affärsmodeller. Verksamheten måste ta ansvar för att dess digitala lösningar följer gällande lagar och regler – både när det gäller den egna användningen men särskilt för hur data delas, förädlas och återanvänds i kommande led. Att ignorera integritetsskyddsfrämjande åtgärder i den inledande fasen och sedan applicera det som en filt över tjänsten/produkten är, som vi har sett, inte ändamålsenligt, direkt kontraproduktivt och i förlängningen mer kostsamt.
Dataskydd är inte endast ett teoretiskt regelverk som uppfylls genom diverse dokumentationsexercis. Rätt använt och implementerat i verksamheten skapar det goda förutsättningar för hållbar digitalisering och innovation och kommer dessutom att utgöra en konkurrensfördel i en framtid där medvetandegraden och betydelsen av dataskydd ökar.
