Nu är det bara en månad kvar. Den 25 maj börjar EU:s nya dataskyddsförordning (GDPR) att gälla. Förordningen kommer att ersätta nationella regler – i Sverige personuppgiftslagen PUL – och skapa ett EU-gemensamt regelverk för behandling av personuppgifter. Med det nya regelverket kommer privatpersoner att få större insyn i vilka personuppgifter som lagras om dem, hur de används och i vilket syfte. De nya reglerna innebär också att människor har rätt att bli raderade ur register, den så kallade rätten att bli bortglömd. För företag som bryter mot lagen väntar kraftiga sanktioner – böter på uppemot fyra procent av den globala omsättningen kan bli aktuella om överträdelsen bedöms som allvarlig och företaget underlåtit att vidta åtgärder. Just de skärpta sanktionsmöjligheterna är en viktig skillnad mellan GDPR och personuppgiftslagen.
I ljuset av Cambridge Analytica-skandalen kan GDPR inte komma mer lägligt. Skandalen, där företaget använde information från miljontals Facebookanvändare för att påverka väljare i Brexitomröstningen och det amerikanska presidentvalet, var nog en ögonöppnare för många när det gäller hur mycket användardata nätjättarna sitter på och vad den kan användas till. I dag går det på ett helt annat sätt än tidigare att kartlägga en persons liv utifrån hur den surfar på nätet. I senatsförhören bad visserligen Facebookgrundaren Mark Zuckerberg om ursäkt och sade att GDPR är något bra. Facebook har lovat att öka transparensen, men någon global anpassning till GDPR blir det inte. Härom dagen kom beskedet att Facebook ”flyttar” drygt 1,5 miljarder användare från Irland till USA för att undvika de nya hårda EU-reglerna. Ansvar på Facebookvis.
Hur väl förberett är Sverige för den nya lagen? EU har flera gånger uttryckt oro för att många medlemsstater, däribland Sverige, ligger efter i arbetet med att implementera GDPR. Framförallt är det små och medelstora företag som behöver lägga på ett kol. Så sent som i början av april hade inte ens hälften av de mindre företagen börjat förbereda sig för GDPR. Även inom den offentliga sektorn råder GDPR-panik då långt ifrån alla är färdiga med att anpassa sina verksamheter till det nya regelverket.
Och hur väl förberedda är vi medborgare? I och med Cambridge Analytica-skandalen visade en Novus-undersökning att en av tre svenskar övervägt att radera sina Facebook-konton. Det visar på ett uppvaknade. Men många är nog fortfarande omedvetna om hur mycket persondata som registreras om dem, inte bara av Facebook och andra nätjättar. Det viktigaste förberedelsearbetet tycks kvarstå: att öka kunskapen om datalagring, att informera om vilka rättigheter GDPR medför och att tänka nytt om den personliga integriteten. För åtta år sedan menade Mark Zuckerberg att integritet inte längre är en ”social norm”. Inför den 25 maj bör både han och alla vi andra tänka om.