Skip to content

"EU:s nya Dataskyddsförordning ställer främst krav på interna processer - och sanktionerna ökar"

ANALYS/KRÖNIKA - av av David Frydlinger, advokat och delägare på advokatfirman Lindahl

 

Som jag skrev i en krönika här på Dagens Juridik den 17 december 2015 har förhandlingarna om EU:s dataskyddsförordning nu slutförts och förordningen kommer att träda i kraft under första hälften av 2018.

Förordningen ställer ökade krav och kommer att medföra kraftigt ökade sanktioner vid överträdelser än vad som gäller idag. Men den erbjuder också möjligheter för företag att bygga förtroende för sig och sina tjänster genom att tydligt visa att man respekterar sina kunders och andras personliga integritet.

För att bygga förtroende hos de registrerade och för att undvika sanktionsriskerna måste företag och myndigheter först och främst organisera sig och inrätta processer för att se till att reglerna efterlevs. Många organisationer har redan idag inrättat sådana organisatoriska åtgärder, till exempel genom att utse personuppgiftsombud. Men få organisationer är sannolikt organiserade i tillräcklig grad för att säkra att den kommande förordningens krav efterlevs.  

Rätt organisation är också en förutsättning för att på effektivast möjliga sätt hantera de ökade administrativa krav som förordningen onekligen kommer att innebära.

Med tanke på sanktionsriskernas storlek måste de organisatoriska åtgärderna börja på styrelse- och ledningsgruppsnivå, bland annat för att sända rätt signaler om frågans vikt och för att se till att tydliga roller utses och att ansvar ges och avkrävs.

Sedan finns det ett antal mer operativa processer som behöver inrättas, varav vissa borde finnas på plats redan enligt dagens regelverk (personuppgiftslagen) medan andra är nya. Några exempel är:

  • En process för att upprätta och hålla uppdaterat ett register över vilka personuppgiftsbehandlingar som sker inom organisationen. I detta register behöver behandlingarna, deras ändamål m.m. anges samt vilka personuppgifter eller kategorier av personuppgifter behandlas osv.
  • Process för att på begäran kunna radera samtliga personuppgifter i samtliga system om en registrerad. Denna process krävs för att uppfylla de registrerades så kallade rätt att bli glömda.
  • Processer avseende informationssäkerhet för skydd av otillåten spridning eller åtkomst till personuppgifter.
  • Process för att kunna uppfylla det nya kravet på så kallat dataportabilitet, et vill säga den registrerades rätt att få ut sina personuppgifter i ett maskinläsbart format, exempelvis för överföring till ett annat företag.
  • Process på IT- och inköpsavdelningar för att se till att alla IT-system där personuppgifter behandlas uppfyller kraven på s.k. privacy by design och privacy by default. Detta krav innebär att IT-system måste designas för att från början uppfylla förordningens krav, bland annat genom att tillse att inte fler uppgifter än nödvändigt behandlas.
  • Process för att genomföra så kallade risk- och sårbarhetsanalyser, vilket bland annat krävs när stora och känsliga datamängder analyseras.
  • Processer för att vid säkerhetsincidenter informera Datainspektionen eller annan behörig myndighet och eventuellt också de registrerade.

Som framgår av listan ovan är detta inte någonting som går att överlåta på personuppgiftsombudet att ensamt hantera. Dessa processer måste göras till en del av den dagliga verksamheten inom olika delar av en organisation. Detta innebär i sin tur att processerna i listan ovan måste utökas till antalet.

En effektiv efterlevnad kräver, åtminstone i större organisationer, ett tydliggörande av samtliga affärsprocesser i vilka personuppgifter behandlas i någon omfattning, exempelvis säljprocesser, marknadsföringsprocesser och HR-processer. Därefter behöver man tillse att det finns processägare som dessutom får i uppgift att tillse en korrekt behandling av personuppgifter.

I vissa fall kanske det räcker med att säljchef, marknadschef, HR-chef och IT-chef har tillräcklig kunskap men i större organisationer är det sannolikt bäst att sprida ansvaret ytterligare, exempelvis på ansvariga för olika marknadssegment eller olika HR-processer såsom rekrytering och rehabilitering.

Det handlar här ingalunda bara om ett skapa en effektiv organisation; det handlar i lika hög grad om rationell riskhantering. Dataskyddsförordningens sanktionsbestämmelser är konstruerade så att proaktivitet, snabb hantering och riskbegränsande åtgärder vid överträdelser vägs in till den överträdande organisationens fördel vid utdömande av viten.

Effektiva processer avseende personuppgiftsbehandling sänker således risknivån, samtidigt som de förstås också skapar större förutsättningar för företag att bygga förtroende hos sina anställda och kunder.

Effektiv efterlevnad av de kommande reglerna och tillvaratagande av de möjligheter som de erbjuder är således i hög grad en organisatorisk fråga, även om de konkreta åtgärderna i den enskilda organisationen förstås behöver baseras på en juridisk analys av vad som krävs i specifika fall. Företags organisation hör till styrelse och ledning och därför måste implementeringen av den kommande förordningen börja hos dessa organ.

 

David Frydlinger arbetar på advokatfirman Lindahl som regelbundet skriver om IT-rätt i Dagens Juridik.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt