EU:s nya datalag står kommunerna dyrt
Förslaget till EU:s nya dataskyddslag är nu inne på slutrakan. När stora delar av offentlighetslagen måste skrivas om och helt nya datasystem skaffas innebär det skyhöga kostnader för kommunerna. I värsta fall får kommunsektorn punga ut med 200 miljoner euro per år.
Syftet med EU:s nya datalag är gott: privatlivets fred ska säkras som en grundläggande rättighet på samma nivå i alla EU-länder. Genom sociala nätverk, sökmotorer, nätbutiker, molntjänster, appar och så vidare lämnar vi dagligen ifrån oss mängder av personlig data. Allt fler oroar sig för att de multinationella bolagen hänsynslöst använder sig av våra digitala spår. Ett integritetshot, menar EU-kommissionen och vill därför uppdatera de europeiska dataskyddslagarna från 1995. När de skrevs hade mobiltelefonerna decimeter långa antenner och få rörde sig på nätet.
Det är frågan om en jätteform som konkret innebär att stora delar av offentlighetslagen måste skrivas om liksom också personuppgiftslagen. Förordningen kommer också att föra med sig nya tekniska krav och ökad byråkrati. Eftersom förhandlingarna mellan EU-kommissionen, parlamentet och rådet ännu pågår kan man inte ännu säga exakt vilka konsekvenserna blir. Men i värsta fall, om kommissionens och parlamentets förslag klubbas igenom kan kommunerna tvingas köpa helt nya datasystem. Klart är att kommunernas uppgifter och skyldigheter ökar i ett läge med redan trängd ekonomi.
– Det kommer hursomhelst att bli jättedyrt för kommunerna. Prislappen kan landa på upp till 200 miljoner euro per år för kommunsektorn ifall alla system måste upphandlas på nytt. I bästa fall räcker det med runt 50 miljoner per år, säger Ida Sulin, jurist på Kommunförbundet.
Kommunförbundet liksom den övriga kommunsektorn i Europa har krävt att bestämmelserna om personuppgiftsskydd inom den offentliga sektorn ska skilja sig från bestämmelserna inom den privata sektorn. Som det nu ser ut gäller samma förordning för myndigheter, riksdag, kommuner, sjukhus och församlingar som för kommersiella jättar som Facebook och Google. Premisserna är ändå helt olika.
– Samma lagar kan inte tillämpas på den offentliga sektorn som kommersiella jättebolag. Man borde genast från första början ha gjort en separat lagstiftning för den offentliga sektorn. Nu verkar det vara för sent, säger Sulin.
När kommissionen gjorde upp sitt förslag 2012 fattade ingen att förordningen också skulle gälla den offentliga sektorn, alla talade bara om näthandeln.
– När man insåg hur det låg till var lobbningen i full gång. Staterna har körts över av konsumentskyddslobbare och kommersiella lobbare.
Förordningen innebär också att man måste bredda begreppet personuppgift och ställer högre tekniska krav på registerverksamheten som myndigheterna upprätthåller. Det finns krav på att alla organisationer och myndigheter måste anlita en dataskyddsexpert. Ida Sulin anser det här vara överdrivet och önskar att medlemsstaterna fick mera spelrum när de beslutar om hur uppgiftsskyddet ska utvecklas. Inom vårdsektorn har vi redan dataskyddsansvariga i Finland. Det finns en risk för att vi inte kan utnyttja dem inom större enheter, utan kanske blir tvungen att utse nya ansvariga för andra sektorer – vilket medför extra kostnader.
– Vi borde få bestämma själva hur vi gör. Det är lite som att med våld trycka folk över bryggan istället för att lära den att själv simma. Sanktionerna för den som begår fel är väldigt stora, för företag gäller mångmiljonbelopp, upp till 5-7 procent av den årliga omsättningen, säger Sulin.
Rådet som består av EU-staternas tjänstemän har reagerat på kommunsektorns krav, bland annat genom att medlemsländerna får mera att säga till om när det gäller myndigheternas dataskyddsregister.
– Kommissionens ursprungliga förslag hade försatt den offentliga sektorn i en mycket svår situation. Parlamentet har sagt sitt och i rådet finns en större förståelse för den offentliga sektorns krav. Om förslaget går igenom så som rådet föreslagit, då klarar är läget inom kontroll, men det inofficiella budskapet är att parterna är långt ifrån varandra.
Dessutom kränker förfarandet enligt Sulin subsidiaritetsprincipen i EU, som handlar om att så mycket som möjligt ska ske på gräsrotsnivå.
– Det här strider emot alla EU:s egna principer och kommer i längden att stocka till rättsväsendet. Trots att kostnaderna ökar drastiskt är nyttan som den vanliga kommuninvånaren får liten, anser Ida Sulin.
Läs också Torvalds: Ny datalag utmanande för kommunerna.
Fakta:
- EU-Kommissionen gjorde upp sitt förslag till den nya dataskydsförordningen 2012. Parlamentet har gett sitt utlåtande och ärendet har gått vidare till rå Parlamentet och rådet förhandlar nu om den slutgiltiga versionen. Förhandlingarna torde vara klara vintern 2015-2016 och förordningen träda i kraft 2018.
- För individen innebär lagen bland annat att dataskyddet ska höjas så att ingen personlig data kan samlas in utan att den som är berörd har gått med på det. Individen ska dessutom ha en större möjlighet att komma åt sin data och få mer information om för vilka ändamål den kan användas.
- I den nya lagen formaliseras även individens rätt att få bli bortglömd. Det ska exempelvis vara möjligt att få sin data borttagen från sökresultat och från tjänsteleverantörer.
- De många och skärpta kraven kommer leda till att många företag och myndigheter måste sätta sig in i vilken data de idag lagrar. Saknas förståelsen för vilken information som bolaget samlar in, vart den lagras och under hur lång tid, så innebär lagen stora risker. Straffen för de som bryter den nya lagen kommer bli hårda.