Vi har förtydligat vår personuppgiftspolicy. Vill du veta mer om hur vi hanterar personuppgifter och cookies - läs mer här.
Aktuella frågor

Debattinlägg: ”För att konkurrera med nätjättarna måste svenska företag inte bara inrikta sig på att följa GDPR utan satsa på att bli bättre på integritet.”

Om GDPR får negativa konsekvenser beror det delvis på att näringslivet inte utnyttjar den inbyggda flexibilitet som finns i förordningen.
Det skriver Jonas Ledendal, jur doktor i handelsrätt på Ekonomihögskolan vid Lunds universitet.

GDPR har kritiserats för att dess generella regler är svåra att tillämpa i praktiken. Förordningen är gjord så att det ska lösas genom ett visst mått av självreglering. Branschorganisationer kan ta fram sina egna uppförandekoder som kan godkännas av tillsynsmyndigheten, i Sverige Datainspektionen, skriver Jonas Ledendal.Bild: Magnus Hjalmarson Neideman/SvD/T, Magnus Hjalmarson Neideman/SvD/TT
På fredag, den 25 maj, börjar EU:s nya dataskyddsförordning, GDPR, General Data Protection Regulation, gälla i Sverige precis som i unionens övriga medlemsstater.
Företag och andra organisationer har haft två år på sig att förbereda sig, men många kom igång sent och in i det sista råder en viss panik. En del menar dessutom att de nya reglerna kommer att hindra en nödvändig digitalisering. Vilka konsekvenser den nya lagstiftningen får återstår att se, men det har inte varit syftet.
Att GDPR skulle förbjuda mycket av det som idag är tillåtet är en missuppfattning. De nya reglerna innebär förändringar, men oron är till stor del obefogad.
Syftet med GDPR är att skydda människors grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, men också att säkerställa ett fritt flöde av personuppgifter inom EU, till exempel så att man kan använda sig av banktjänster inom hela unionen.
För att digitala tjänster och nya affärsmodeller ska fungera krävs att användarna vill dela med sig av sina personuppgifter. Det handlar även om nya möjligheter till samhällsplanering. Att människor vill dela med sig av sina personuppgifter är exempelvis en förutsättning för att utveckla ett klimatsmart resande.
Därför är det ett stort problem att människor i allt högre grad känner oro över vad som händer med deras personuppgifter, något som både Eurobarometern 2015 och undersökningen Delade meningar 2018 visar.
Ett av målen med GDPR är att stärka EU:s digitala inre marknad genom att öka tilliten till digitala tjänster. Ett starkt skydd för personuppgifter är alltså inte bara ett mål i sig, utan också ett medel för att undanröja handelshinder.
GDPR är i första hand tänkt att skapa incitament – bland annat genom höga sanktionsavgifter – för att marknaden ska hitta egna och nya lösningar. GDPR handlar inte om att företag och andra organisationer nu måste efterleva en statisk uppsättning regler, utan är ett sätt att främja innovation och en kultur där dataskydd är en självklarhet. Ytterst gäller det hur organisationer hanterar de risker som är förknippade med behandling av personuppgifter.
Reglerna i GDPR bygger på en modell som innebär att de krav som ställs på olika organisationer beror på vilka risker som uppkommer för de människor som registreras. Betydligt lägre krav ställs på små företag som en frisörsalong där dessa risker är lägre än för större företag som behandlar stora mängder personuppgifter.
GDPR har kritiserats för att dess generella regler är svåra att tillämpa i praktiken. Förordningen är gjord så att det ska lösas genom ett visst mått av självreglering.
Branschorganisationer kan ta fram sina egna uppförandekoder som kan godkännas av tillsynsmyndigheten, i Sverige Datainspektionen. Syftet med det är att minska organisationernas administrativa bördor och undvika att reglerna blir alltför fyrkantiga och strikta. Till exempel har Cloud Select Industry Group där bland annat Google Cloud, IBM, SAP och Oracle är medlemmar tagit fram EU Cloud Code of Conduct som specificerar tillämpningen av GDPR för molntjänster.
Förutom risker för dem som registreras tar GDPR även hänsyn till den tekniska utvecklingen. Genom krav på inbyggt dataskydd och dataskydd som standard skapas incitament för innovation. En ny rätt till dataportabilitet, möjlighet att flytta data, ska dessutom motverka inlåsning och göra det enklare för användare att flytta sina personuppgifter till nya tjänster. Det ger användarna ökad kontroll, men främjar också konkurrensen mellan företag.
Företag kommer i allt större utsträckning att kunna konkurrera genom att erbjuda konsumenter ett bra dataskydd, men då krävs att konsumenterna kan göra informerade val.
Men hur ska man kunna veta att vissa leverantörer ger ett bättre dataskydd än andra? Även här litar GDPR på att marknaden löser det. Certifieringar, märkningar och sigill för dataskydd som kan godkännas av Datainspektionen och övervakas av ackrediterade certifieringsorgan kan öka tilliten och göra det enklare för användarna att välja tjänster med god integritet.
EU:s nya dataskyddsregler gäller också för företag i länder utanför EU som vill rikta sig till kunder i unionen. Europeiska företag som redan under lång tid levt under strängare dataskyddslagstiftning kan därmed nu få en konkurrensfördel.
Om GDPR får negativa konsekvenser beror det delvis på att näringslivet inte utnyttjar den inbyggda flexibilitet som finns i förordningen. Företag bör, på samma sätt som de idag arbetar med hållbarhet, strategiskt använda god integritet för att öka kundernas tillit och differentiera sina produkter. För att konkurrera med nätjättarna måste svenska företag inte bara inrikta sig på att följa GDPR utan satsa på att bli bättre på integritet.

Jonas Ledendal

Jonas Ledendal är jur doktor i handelsrätt på Ekonomihögskolan vid Lunds universitet.
Gå till toppen