Pernilla Norman: Den tredje GDPR-vågen är här
När nu samhället så sakteliga öppnar upp igen är vi på väg mot ”a new normal”. Det senaste dryga året har det spekulerats mycket kring vad detta nya normaltillstånd kommer att vara, hur vår vardag kommer att se ut. Inte minst har diskussionerna varit många om hur vi framöver kommer att se på och använda våra kontor.
Även om många längtar tillbaka till gemenskap, småsnack vid kaffet och möjligheten att avhandla frågor på några minuter istället för att boka in ett möte, så tycks det råda en allmän uppfattning om att vi inte vill gå tillbaka. Det tycks inte finnas någon allmän önskan att sitta på ett kontor ”9 till 5”. Den flexibilitet som vi så snabbt ställde om till i mars 2020, vill vi behålla.
Många större företag går nu ut i media och talar om att man ser att personalen kommer att vara på kontoret två till tre dagar i veckan. Det talas också om att tiden på kontoret kommer att koncentreras till vissa arbetsuppgifter på ett sätt som gör att medarbetarna kan styra sina tider för att exempelvis undvika rusningstrafik.
Oavsett om de nya kontoren kommer att utformas mer som lounger med fokus på att mötas, eller om vi även fortsättningsvis kommer att sitta vid våra skrivbord, så kan det
konstateras att det digitala och flexibla arbetssättet har slagit igenom. Den omställning
vi har gjort är här för att stanna.
Som vi konstaterade i den förra krönikan ställer det digitala, flexibla arbetet stora krav på cyber- och it-säkerhet. När vi arbetar från olika ställen – inte bara kontoret och kanske inte endast hemifrån utan även från sommarhuset, båten eller andra ställen – gäller det att tänka igenom hur säkerheten hanteras.
Arbetssättet innebär att vi hanterar data, ofta personuppgifter, utanför den säkerhet som oftast finns på kontoret. Detta har medfört en än större fokusering på personuppgiftsfrågor under det senaste året. För att travestera uttrycken från pandemin, skulle man kunna säga att den tredje GDPR-vågen nu är här.
Frågan om hantering av personuppgifter i olika former av molnlösningar har blivit en het potatis, och man kan tydligt se en polarisering i två läger.
Det ena lägret driver en kategorisk linje som innebär att de tolkar bland annat EU-domstolens dom i Schrems II-målet som att det i princip inte är möjligt att hantera personuppgifter i molnlösningar som medför att uppgifterna hanteras utanför EU.
Det andra lägret ser att frågan är lite mer komplex och innehåller lite fler nyanser, vilket medför att det kan vara möjligt att använda molnlösningar från exempelvis leverantörer i USA, under förutsättning att säkerheten för personuppgifterna garanteras genom tekniska, organisatoriska och avtalsmässiga åtgärder.
En stötesten i debatten är hur offentlighets- och sekretesslagens regler ska tolkas i detta sammanhang. Ett antal myndigheter har gått så långt att de inte längre tillåter exempelvis Microsoft Teams.
Detta är självklart försvårande för det digitala, flexibla arbetssättet som vi konstaterat
är ”the new normal”.
Som vi tidigare har diskuterat här i krönikorna pågår det mycket arbete i dessa frågor. EU-kommissionen förhandlar med USA:s regering om en lösning för hantering av personuppgifter på ett säkert sätt och därmed införandet av en efterföljare till Privacy Shield som EU-domstolen underkände i Schrems II-domen. Den europeiska
dataskyddsmyndigheten, EDPB, har öppnat upp för lättnader i sina rekommendationer och EU-kommissionen har utfärdat nya standardklausuler som ska användas vid överföring
av personuppgifter till länder utanför EU.
På lagstiftningsområdet pågår det arbete såväl på EU-nivå som på nationell svensk nivå. Vi återkommer med rapporter om hur arbetena framskrider.
I nuläget är det upp till oss alla att fokusera på att tillse att personuppgifter hanteras på ett säkert sätt i enlighet med GDPR:s krav.
Artikeln är en del av vårt tema om Krönika.