Idag fyller dataskyddet 73 år. Eller snarare rätten till skydd mot godtyckligt ingripande i fråga om privatliv och korrespondens, som FN anslog i sin allmänna förklaring om de mänskliga rättigheterna. Att vi behövde lagfästa rättigheter som skyddade oss mot framtida förföljelser och övervakning var ofrånkomligt under efterkrigstiden, men har kanske inte lika stort fokus i Sverige idag.
Att GDPR är en rättighetslagstiftning sprungen ur FN:s och Europarådets konventioner om de mänskliga rättigheterna, som senare befästs även av EU:s institutioner, råder det inga tvivel om. I dataskyddsförordningens tredje kapitel finns en gedigen rättighetskatalog som många fortfarande stretar med att tillmötesgå, trots att det snart var fyra år sedan reglerna trädde i kraft.
Rätten till information (katalogens ”första” rättighet) blev vi varse redan våren 2018 då vi bombarderades med informationsmail från allehanda kundklubbar och föreningar som vi inte ens visste att vi fortfarande var medlemmar i. Men sen såg det ut att ta stopp. Långt ifrån alla personuppgiftsansvariga organisationer tog steget vidare till rätten till behandlingsbegränsning och rätten till dataportabilitet. Kanske blev det krångligt och lite svårt att förstå ändamålen med dessa rättigheter som är så svåra att få till rent praktiskt. Ändamålet med rätten till information är dock solklart; att vi som är föremål för personuppgiftsbehandling ska få veta hur våra uppgifter behandlas och även ge oss kunskap och verktyg att fatta välgrundade beslut om vi vill påverka behandlingen.
Väl hemmastadda i informationstexter som togs fram 2018 dyker kontinuerligt ny praxis upp. Ett exempel är Irländska tillsynsmyndighetens beslut att bötfälla WhatsApp med 225 miljoner Euro i sanktionsavgift för brister i informationsskyldigheten. Beslutet innebär förtydliganden och högt ställda krav på hur vi ska informera om personuppgifts-behandlingar. Redan nu måste vi alltså göra om vårt väl utförda arbete. För den organisation som ännu inte greppat att GDPR måste vara en del av det kontinuerliga förbättringsarbetet kan den snabba rättsutvecklingen utgöra ett hinder mot att ”komma i mål” med alla de andra rättigheterna.
Låt det inte bli så. Rättigheterna finns till av en anledning. Och som jag alltid brukar säga; på andra sidan av rättigheter finns skyldigheter. Vad vore en rättighet om ingen stod på andra sidan och omhändertog den? Ni som personuppgiftsansvariga är den hjälpande handen.
Vill ni ta chansen att låta vad som hände WhatsApp bli ett startskott för att se över befintliga infotexter (och kanske komma i hamn även med de andra rättigheterna) så kan jag tipsa er att snegla på mina slutsatser från en granskning av rätten till information som genomfördes i några kommunala bolag under 2019. Bolagen låg redan inför revisionen i framkant i sitt GDPR-arbete och ett av dem skulle jag kalla för ambassadör. Från sidan 26 finns gamla men goda tips på hur ni kan kvalitetssäkra information enligt artiklarna 12-14 i linje med vad som framkommer i WhatsApp-beslutet: Dataskyddsnätverk efter granskning av rätten till information
Liv Zettergren, jurist och dataskyddsombud
