Skip to content

"Den nya Dataskyddsförordningen – en källa till både utmaningar och möjligheter"

ANALYS/KRÖNIKA - av av David Frydlinger, advokat och delägare på advokatfirman Lindahl

 

Förhandlingarna om Europeiska Unionens nya Dataskyddsförordning är nu slutförda. Förordningen kommer att träda ikraft och ersätta personuppgiftslagen någon gång i början av år 2018.

Svenska företag och myndigheter kommer att behöva anpassa sig till en lagstiftningsmiljö där kraven på behandling av personuppgifter höjs och sanktionsriskerna ökar.

Förordningen och dess krav kommer, rätt hanterad, att skapa bättre förutsättningar för ett informationssamhälle som på samma gång skyddar individers personliga integritet och ger företag och myndigheter möjlighet att nyttja den stora ekonomiska, mänskliga och samhälleliga värdepotential som finns i behandling av personuppgifter. Förberedelserna bör inledas redan nu.

Skydd mot behandling av personuppgifter är en så kallad fundamental rättighet för alla EU-medborgare, på samma sätt som yttrandefrihet, informationsfrihet, näringsfrihet, religionsfrihet - och så vidare. Att denna rättighet verkligen är fundamental har framgått tydligt av EU-domstolen domar de senaste åren, exempelvis när datalagringsdirektivet upphävdes, när Google tvingades respektera en rätt för individer att bli ”glömda” av dess sökmotor och, nu under hösten, när det så kallade Safe Harbor-beslutet som möjliggjorde överföring av personuppgifter till USA upphävdes.

Den nya dataskyddsförordningen befäster detta ytterligare, vilket kanske tydligast kommer till uttryck i att sanktionerna mot att överträda många av förordningens bestämmelser kommer att uppgå till det högre av 20 miljoner euro och 4 procent av det överträdande företagets globala omsättning.

Signalen är tydlig: det kommer att bli nödvändigt att ta frågan om personuppgiftsbehandling på betydligt större allvar än under dataskyddsdirektivets och personuppgiftslagens regim.

En stor mängd av förordningens bestämmelser gäller redan idag, i Sverige uttryckta i personuppgiftslagen. De grundläggande kraven på att få behandla personuppgifter kommer i stora delar att behållas. Men det finns också ett antal viktiga nyheter, exempelvis:

  • Det för Sverige unika undantaget från många personuppgiftsregler vid s.k. ostrukturerad behandling kommer att försvinna. Detta undantag har på många sätt förenklat tillvaron och dess borttagande kommer utan att tvekan att innebära en ökad administrativ börda för personuppgiftsansvariga.
  • Även s.k. personuppgiftsbiträden, som behandlar personuppgifter på uppdrag av den som är ansvarig för personuppgiftsbehandlingen, kommer att få skadeståndssanktionerade skyldigheter, t.ex. att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Detta kommer att påverka inte minst många IT-leverantörer.
  • Formerna för hur giltiga samtycken kan lämnas kommer att förändras, om än inte så mycket som EU-parlamentet hade önskat. Kraven på tydlighet när samtycken lämnas kommer nämligen att öka, vilket kommer att innebära att många idag lämnade samtycken kanske inte kommer att vara giltiga när förordningen träder ikraft.
  • Det kommer att finnas en skyldighet att informera dataskyddsmyndigheterna vid säkerhetsincidenter som berör personuppgifter. I vissa fall utsträcks denna skyldighet till att informera även de registrerade. Kraven på transparens kommer således att öka.
  • När IT-system där personuppgifter behandlas ska byggas måste integritetsfrågorna beaktas från början så att inte fler uppgifter än nödvändigt behandlas i dem, lämpliga säkerhetsmekanismer finns implementerade osv, så kallad privacy by design.
  • De registrerade kommer att ha rätt att få ut sina personuppgifter från ansvariga företag i ett standardiserat format så att de lätt kan överföras till andra företag, s.k. dataportabilitet.
  • Den av EU-domstolen redan fastslagna ”rätten att bli glömd” lagfästs och innebär att företag och andra organisationer på registrerades begäran radera personuppgifter om dem, vilket låter okomplicerat men som kan bli nog så tekniskt och organisatoriskt utmanande.

Även om början av 2018 kan kännas långt borta finns nog anledning för många organisatorisk att börja förbereda sig redan nu. Tre konkreta åtgärder som kan göras är att:

  • Kartlägga vilka personuppgiftsbehandlingar som äger rum idag – även ostrukturerade sådana – och kontrollera om de uppfyller kraven som kommer att gälla enligt förordningen,
  • Kontrollera om insamlade samtycken kommer att fortsätta att vara giltiga eller om de måste hämtas in på nytt, på ett sätt som är förenligt med förordningen,
  • Kontrollera om IT-system där personuppgifter behandlas uppfyller kraven avseende privacy by design.

Åtgärder måste som sagt vidtas även av personuppgiftsbiträden, som bland annat måste upprätta register över vilka behandlingar som genomförs på uppdrag av personuppgiftsansvariga.

Det är här lätt att stirra sig blind på de ökade administrativa kostnader och regulatoriska risker som dataskyddsförordningen utan tvekan kommer att innebära. Det är viktigt att betänka att när alla förordningens krav och skyldigheter är implementerade så bör konsumenter, anställda och andra kategorier av registrerade kunna känna förtroende för att deras integritet inte kränks när deras personuppgifter behandlas. Inom hela EU dessutom, eftersom förordningen kommer att gälla direkt som lag i alla EU:s medlemsstater.

Värdepotentialen för samhälle och näringsliv i detta förtroende kan knappast överskattas och kommer sannolikt att ofta överstiga de administrativa kostnaderna.

Personuppgifter kan behandlas för en mängd mycket nyttiga ändamål som förbättrad sjukvård, effektivare statlig förvaltning, innovativa konsumenttjänster, smarta bilar och så vidare. Men då måste man också få tillgång till personuppgifterna, vilket kräver respekt för de registrerades integritet. Dataskyddsförordningen anger spelreglerna för hur denna respekt ska visas.

Det finns med andra ord såväl starka intäktsskäl som kostnads- och riskskäl för företag och andra organisationer att börja förbereda sig för första kvartalet 2018 och betrakta den nya förordningen som både en källa till tuffa utmaningar och nya möjligheter till värdeskapande.

 

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt