Om EU-kommissionären Viviane Reding får som hon vill kommer den nya dataskyddsförordning hon ansvarar för att bli tvingande lag i hela EU. Men den nya lagen kan i ett svep göra det omöjligt för svenska företag att spara data om sin försäljning eller att ens lagra en adress.
Sverige har sedan 1998 en datalagstiftning som i dagligt tal benämns PuL, Personuppgiftslagen. PuL reglerar hur olika data får användas inom mängder av områden och har som syfte att skydda medborgarnas uppgifter och integritet. Det är också PuL som ibland ställer till det i olika sammanhang med regler som kan upplevas som orimliga (i princip är t ex alla foton föreställande en levande människa att anse som en personuppgift), men på det stora hela fungerar lagen bra. Ett skäl är förstås att den är verklighets-anpassad, ett annat är att svenska register är välskötta och att det finns en tradition av effektiv självreglering hos de aktörer som hanterar personuppgifter.
Kommissionär Reding är dock av annan uppfattning. I hennes värld – hon har sina rötter i Luxemburg där bankrelaterad sekretess är på agendan – behöver medborgarna skyddas i en helt annan utsträckning. Hon tycks beredd att gå så långt att inga data får sparas, inga data får användas och inga data får ens existera om inte individen har gett sitt uttryckliga samtycke. Och även om individen har givit sitt godkännande, ska han eller hon i varje ögonblick kunna begära av exempelvis ett företag att få tillbaka alla data om sig själv, oavsett var de har sparats. Fundera ett ögonblick på vad det skulle innebära för just din verksamhet, sänd sedan en tacksamhetens tanke till att du inte äger en stor matvarukedja eller ett förlag, exempel på företag som ofta är erkänt skickliga på att samla data för att med kundens bästa för ögonen anpassa sina budskap och uttrycks-sätt. Ett enkelt exempel – på SWEDMA:s hemsida kan man kommentera, dela och gilla sådant vi skriver om, exempelvis olika personer. Om förslaget blir verklighet skulle vi inte bara behöva kunna ta bort all information på begäran, vi förväntas också kunna spåra – och ta bort den – om den har spridits vidare i mail eller på andra sajter. Orealistiskt? Ja.
Grundbulten i det som EU kan komma att besluta är en så kallad opt in-modell, något som är artfrämmande för svenskt vidkommande när det handlar om traditionella adressregister. Med en sådan regel krävs kundens aktiva, informerade och frivilliga samtycke för att få behandla personuppgifter. En marknadsförare exempelvis, måste till skillnad från dagens system där man får behandla personuppgifter så länge personen inte har tackat nej, kunna visa att företaget har ett sådant samtycke från varje individ som det tänker kontakta. Detta innebär att den tidigare avvägningsprincipen helt försvinner. Dagens modell innebär att en registerhållare har rätt att behandla data om han kan peka på att den part som uppgifterna gäller vinner på att ett mindre intrång i den personliga integriteten sker genom ett urval eller en selektering. I praktiken kan det handla om sådant som att körkortslösa inte får bilreklam eller att enbart äldre nås av för dem relevant information.
Frågor kring integritet diskuteras allt ivrigare i det moderna samhället. Ofta är det teknikutvecklingen som driver fram diskussionerna, exemplen är otaliga. Att fotografera barnens skolavslutning var fullständigt oförargligt fram till att de digitala publicerings-vägarna för bilder gjorde sitt intåg. Och vem har inte förundrats över inkonsekvensen i att vi gladeligen sprider uppgifter om oss själva i alla upptänkliga former medan ett harmlöst misstag i ett offentligt dokument leder till ramaskrin och krav på åtgärder? Vissa menar att svenskarna konsekvent silar mygg och sväljer kameler och att strävan efter ”integritet” har blivit kontraproduktiv; flertalet av oss vill i själva verket kunna nås av nästan all slags information, inklusive reklam (givet att den upplevs som relevant). Och att information om vår adress, vår ålder etc. används för urval av olika slag upplevs sällan som något problem, så länge det inte handlar om åsiktsregistrering eller kartläggning för illegala syften.
En klok idé i det framlagda förslaget är att alla företag som har fler än 250 fast anställda eller främst ägnar sig åt att behandla data ska ha ett Dataskyddsombud anställt. Dataskyddsombudet ska övervaka att företaget följer lagkraven och larma till myndigheterna annars. Denna person ska vara anställd på minst två år, får ej vara i beroendeställning och ska i praktiken nästan inte kunna sparkas. Däremot finns det gott om inslag i det nya lagförslaget som präglas av bristande realism och där man måste fråga sig vad som är tanken bakom. Exempelvis slås det fast att varje privatperson ska ha rätt att när som helst begära att all information som ett företag har samlat ihop och byggt upp ska flyttas till ett annat företag, dessutom ska informationen lämnas ut på ett sätt som möjliggör för mottagaren att själv använda den. Hur detta är tänkt att gå till och vad det i slutänden kommer att kosta konsumenterna – företagen kommer givetvis att behöva vältra över kostnaderna – är det oklart om kommissionären har satt sig in i.
Från SWEDMA:s sida välkomnar vi att datalagen ses över och uppdateras. En av de viktigaste uppgifterna för oss är att säkerställa att lagarna inom området kan efterlevas och att marknadens aktörer följer de överenskommelser om god sed som finns. Därför kan vi inte stillatigande se på när huvudlösa principer är på väg att lyftas upp till tvingande lag på ett sätt som riskerar att lamslå verksamheten i snart sagt alla svenska företag och organisationer. Vi har för avsikt att samla företrädare och representanter för ett antal större branscher bakom ett gemensamt svenskt krav på ett mer nyanserat och måttfullt införande. Om förslaget i sin nuvarande form blir tvingande för svenskt vidkommande blir konsekvenserna orimliga. Företagen kan inte längre informera kunder och konsumenter, tiotusentals arbetstillfällen inom marknadsföring och handel hotas.
Eva-Lotta Laurin är vd för den svenska DM-organisationen SWEDMA sedan den 1 december 2011. Hon har tidigare arbetat på Posten med direktreklam och affärsutveckling. Hon bor i Vaxholm, utanför Stockholm.