Trots stora sanktionsrisker rycker många fortfarande på axlarna åt GDPR. När jag är ute och föreläser eller läser inlägg på LinkedIn finns det en varierande kör av röster:

”Det är för krångligt”

”Ingen annan verkar ju ta det på allvar så varför ska vi göra det?”

”Jag tycker det verkar orimligt. Vi kan i alla fall inte jobba så…”

Det finns många ursäkter. Men dessa kommer inte hålla i längden.

När GDPR visar sina muskler

GDPR är inte tandlös. Många organisationer runt om i EU har redan fått uppleva tillsynsbesök och sanktioner. Samtidigt är det ett faktum att tillsynsmyndigheterna inte har resurser att se och hitta allt. Så visst: många har hittills inte behövt ta tag i arbetet och klarat sig med att vara passiva. Men det är inte en hållbar strategi i längden. Ju längre man väntar, desto tuffare blir det. När en tillsyn är ett faktum är det svårt att hantera missade insatser.

I somras kom ett rättsfall, Schrems II, som har skakat om i dataskyddsvärlden. EU-domstolen underkände Privacy Shield, det beslut som EU-kommissionen meddelat som gjort överföringar av personuppgifter till USA laglig. Rättsfallet, som inte var särskilt oväntat om man läser bestämmelserna, slog ner som en bomb. Förvirringen är stor idag: går det föra över personuppgifter till USA? I så fall: vad behöver man göra.

Schrems II är intressant då omständigheterna är en riktig David och Goliat-historia. Det startade när juridikstudenten Max Schrems bestämde sig för att utmana Facebook. Jag har hört berättat att detta skedde efter att han lyssnat till ett föredrag av någon av The big 5 (Microsoft, Apple, Facebook, Google, Amazon) och förstod att de amerikanska jättarna såg på EU:s dataskyddsregler som en papperstiger: EU ryter men klarar inte av att göra något konkret, var det arroganta budskapet. Den unge studenten bestämde sig för att utmana en av jättarna (genom att processa om sitt eget Facebook-konto) och har nu vunnit på knock-out i två fall (rättsfallet Schrems I-II). Snacka om en David och Goliat-berättelse på 2020-talet!

Max Schrems visade att reglerna inte är en papperstiger och att registrerade kan utmana och vinna. Och Max Schrems är inte ensam: han leder idag organisationen Noyd som under devisen ”My Privacy is None of Your Business” arbetar för att jämna oddsen mellan registrerade och företag.

Vad kan vi lära oss av Schrems II?

Det Schrems II lär oss är att varje organisation behöver fundera och reflektera över de registrerade som de möter: Hanteras de schysst? Finns det risk för att vi behandlar människors integritet respektlöst? Finns det risk att de gör något, till exempel klagar hos en tillsynsmyndighet? Eller kontaktar organisationer som Noyd? Det kan finnas en David där ute, som ser sin chans att utmana Goliat. Och regelsystemet är i stor utsträckning på Davids sida.

Det finns ytterligare en aspekt att tänka på för organisationer som ändå tvekar. Gör man något för att man måste känns det ofta tungt och onödigt. Gör man något för att man tror på det blir situationen en annan. Kom ihåg att integritet är en mänsklig rättighet, så organisationens agerande har även en etisk dimension. Bakom de krångligt formulerade reglerna finns tunga skäl: att EU-domstolen underkände Privacy Shield berodde på amerikanska myndigheter har mycket långtgående befogenheter att hämta in personuppgifter, som bland annat utnyttjas för bulkinsamlingar av information från till exempel Facebook. Det är inte särskilt rättssäkert att myndigheter, utan minsta misstankegrad, bygger profiler på människor. Det var det som Max Schrems framförde och det var det argumentet som vann gehör. Schrems II tvingar organisationer att ta sitt ansvar: innebär vår hantering att vi kränker mänskliga rättigheter? Vad kan vi göra för att undvika det?

Vill du veta mer om Schrems II?

Många känner att de behöver sätta sig in i dataskyddsfrågor djupare efter Shrems II. Ett lästips är en artikel jag skrev för JP Infonet! I den gjorde jag en analys av läget. Som framgår är mycket oklart.

Ett annat tips är att anmäla dig till ett kostnadsfritt webbinarium. I det kommer vi prata en del om tredjelandsöverföringar: frågan vi borrar i rör rätten till information! Att göra tredjelandsöverföringar är så mycket mer än att bara hålla reda på lagliga grunder och kommissionsbeslut: Man måste också informera så att registrerade förstår. Webbinariet är den del i satsningen GDPR Excellence, som jag och Anna Cumzelius driver. Programmet återstartar på grund av pandemin 2021. Men redan nu går det alltså att prova på ett webbinarium för den som är sugen.