Dataskyddsförordningen, vad hände egentligen?

Det är över ett år sedan den nya dataskyddsförordningen började gälla. Många känner den som GDPR, men låt oss använda det svenska begreppet som dessutom säger mer om vad det egentligen handlar om. Det känns inte som det har hänt så mycket det senaste året. Om du trodde att polisen skulle storma huvudkontoren till stora företag och dela ut stora böter är du sannolikt besviken. Efter ett drygt år har inte ett enda svenskt bolag fått böter från Datainspektionen.

Frågan är vad som kommer att hända med dataskyddsförordningen framöver? Kommer fokus att vara på eventuella stora böter och datainbrott? Eller kommer vi att se en utveckling där svenska medborgare faktisk kommer att engagera sig i det dataskyddsförordningen egentligen handlar om, som till exempel varför ett bolag över huvud taget har dina uppgifter och vad de använder dina personuppgifter till?

Rättslig grund för behandling av personuppgifter

Ett av de allra mest centrala begreppen i dataskyddsförordningen är rättslig grund. Det handlar om att kunna svara på varför ett företag har information om dig. Det finns flera grunder, och företag kan till en viss grad välja den grund som passar bäst.

  • Samtycke är den rättsliga grunden som de allra flesta associerar med dataskyddsförordningen och GDPR, men det är faktiskt sällan som samtycke är den riktiga rättsliga grunden att använda.
  • Avtal är en relativt okomplicerad och rättfram grund. När du till exempel skal teckna ett bolån måste du uppge namn, adress och så vidare. Det hade varit helt orimligt att vara tvungen att ge samtycke också.
  • Rättslig förpliktelse, samt myndighetsutövning och grundläggande intresse. Detta är tre kategorier som hör ihop, på det sätt att det handlar om behandling av personuppgifter som baserar sig på lagar, regler eller till och med lov och död. Till exempel måste bolag naturligtvis fortfarande följa lagar som gäller för redovisning.
  • Intresseavvägning. Detta är en mycket spännande kategori, som handlar om behandling som har bolagets intresse av att behandla uppgifterna som rättslig grund.

Mer om intresseavvägning

Vad är det då som gör att intresseavvägning är så intressant både för bolag och konsumenter? Det är hur omfattande denna rättsliga grunden egentligen är. För att börja med ett enkelt exempel kan ett bolag skicka reklam till sina existerande kunder, så länge bolaget håller sig innanför lagar och regler för marknadsförning, med intresseavvägning som rättslig grund. Bolagets intresse av att marknadsföra och sälja trumfar helt enkelt individens intresse av att inte få reklam.

För många bolag, som kanske trodde att de behövde samtycke för allt, kan detta komma som en överraskning. Men är kanske ännu mer överraskande för individer, som kanske tror att GDPR och dataskyddsförordningen stoppar allt som inte handlar om samtycke.

Förhoppningsvis kommer Datainspektionen att fokusera mer på att kommunicera de grundläggande koncepterna i dataskyddsförordningen i tiden som kommer.