Skip to content

"På fredag går startskottet för GDPR - här är checklistan för nyheter och konsekvenser"

KOMMENTAR - av advokaten Dag Wetterberg, specialiserad på immaterialrätt och IT-rätt och författare till boken "Dataskyddsförordningen GDPR - förstå och tillämpa i praktiken" 

 

På fredag - den 25 maj - får Europa en ny gemensam och harmoniserad lagstiftning rörande dataskydd: Dataskyddsförordningen (”GDPR”).

GDPR blir direkt tillämplig i hela EU men kommer även att kompletteras med nationella bestämmelser av olika slag. GDPR kommer att gälla som lagstiftning i Sverige vid införandet och ersätter personuppgiftslagen och personuppgiftsförordningen.

Det är organisationen (företaget eller myndigheten) som ansvarar för att skyldigheter förtydligas och utökas och att de registrerades rättigheter förstärks. Ytterst är det styrelsen i ett företag/förening eller kommunernas nämnder som är ansvariga för att regleringarna följs.

En av de största och mest uppmärksammade förändringarna är de utökade möjligheterna för Datainspektionen att besluta om administrativa sanktionsavgifter. Genom GDPR införs det möjligheter att i vissa fall besluta om en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av vissa organisationers omsättning om en organisation missköter sin behandling av personuppgifter.

Begreppet personlig integritet finns både i grundlag, lag samt ett antal konventioner som Sverige ratificerat. Svensk grundlag ger ett grundläggande skydd för den personliga integriteten utöver det skydd som följer av att lag eller annan föreskrift inte får meddelas i strid med Europakonventionen.

Frågan om personlig integritet regleras dessutom i sex konventioner som Sverige ratificerat varav en är den världsomfattande FN-stadgan. 

Denna artikel tar upp en del saker som Personuppgiftsansvariga och Personuppgiftsbiträden bör tänka på och förbereda sina organisationer på inför den 25 maj 2018.


Varför är det en sådan hype runt GDPR?
I huvudsak handlar hypen runt Dataskyddsförordningen (”GDPR”) om det faktum att övertramp av GDPR kan innebära avsevärda sanktionsavgifter för en organisation.

En annan sak som inte varit lika uppmärksammad är de rigorösa informationskrav som ställs på en organisation samt skyldigheten att inom en månad redovisa vilken behandling av den registrerades personuppgifter som företagits.

Vid en jämförelse med Personuppgiftslagen (”PuL”) innehåller GDPR följande nyheter och konsekvenser:

Höga sanktionsavgifter
Sanktionsavgifter upp till 20 miljoner euro eller 4 procent av ett företags omsättning. Myndigheter kan få betala sanktionsavgifter på upp till 10 miljoner kronor.

Missbruksregeln försvinner
Regleringen om ostrukturerade personuppgifter och missbruksregeln (som är en svensk särreglering) försvinner vid införandet av dataskyddsförordningen.

Profilering
Det införs ett rigoröst regelverk för så kallad profilering. Detta införs för att skydda EU-medborgares integritet. Det blir helt enkelt svårare för organisationer att profilera sina kunder brett.

Nya principer
Öppenhet, integritet, konfidentialitet och ansvarsskyldighet. Exakt vad som ryms i dessa nya begrepp får en klarare betydelse efter införandet av dataskyddsförordningen då en ny rättspraxis bildas.

Ökad informationsskyldighet
Den personuppgiftsansvarige kommer att få en utökad informationsskyldighet då den som vill efterfråga uppgifter (den registrerade) kan göra det när hen vill.

Den personuppgiftsansvarige måste lämna uppgifter inom en månad med en månads förlängning om den personuppgiftsansvarige kan visa ett tydligt behov.

Om den registrerade begär utdrag elektroniskt ska hen även få informationen elektroniskt och kostnadsfritt.

Den personuppgiftsansvarige ska kunna lämna information om de åtgärder som gjorts och ska ge klar, enkel och lättfattlig information samt underlätta den registrerades utövande av sina rättigheter.

Dataportabilitet
Regleringen om dataportabilitet tar bland annat sikte på sociala nätverk som Twitter, Facebook och Linkedin. Den registrerade har enligt denna reglering rätt att överföra sina personuppgifter från till exempel Twitter till Facebook.

Denna reglering är inte begränsad till sociala nätverk, varför den kan gälla många personuppgiftsansvariga.

Personuppgiftsincidenter
I reformen har en tvingande reglering om anmälan av personuppgiftsincidenter till Datainspektionen införts. Den personuppgiftsansvarige ska göra en sådan anmälan inom 72 timmar från att incidenten inträffat.

Den som är personuppgiftsbiträde ska rapportera till den personuppgiftsansvarige. Ibland måste även den personuppgiftsansvarige rapportera till den registrerade.

Rätten till radering
En registrerad person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser hen raderas.

Barns samtycke
Regleringar införs rörande barns samtycke. I dataskyddslagen föreslås samtyckesåldern bli 13 år i Sverige.

* * * * * * *

Sammantaget är GDPR ett uttryck för lagstiftarens vilja att stärka den registrerades rättigheter (fysikerns) att få sin integritet respekterad. Således har denna lagstiftning egentligen ingenting med IT-rätt att göra utan är en offentligrättslig lagstiftning som tar sikte på att skydda privatpersoners integritet.

Anledningen till att denna lagstiftning, och även PuL, har kategoriserats som IT-rätt är att frågorna ofta hamnat på organisationens IT-avdelning eller externa IT support.

När en organisation ska genomföra införlivandet av GDPR i sin organisation är det min starka rekommendation att styrelse och ledning (Verksamheten) leder genomförandet av projektet även om IT och juridik är en viktig del för ett lyckat GDPR-projekt.

Kännetecknande för GDPR och hur man kan driva ett GDPR-projekt
GDPR är en omfattande lagstiftning med 178 skäl och 98 artiklar. Det säger sig självt att det är en stor utmaning för alla organisationer att ta sig an och införliva en sådan lagstiftning i sin verksamhet. Hur ska man göra då?

Min medförfattare till boken: Dataskyddsförordningen - GDPR, förstå och tillämpa i praktiken, Monika Wendleby, beskriver en metod som går ut på att vi anger tre påståenden till huvudmannen som sedan får välja ett eller para ihop flera påståenden:

  1. Allt ska vara rätt;
  2. Allt skall vara genomgånget;
  3. Börja med det viktigaste först.

Utifrån GDPR:s komplexitet och avsaknaden av rättspraxis tror vi inte att någon organisation klarar av p.1- allt ska vara rätt.

Det är en bra ambition och något som organisationen kanske klarar av i en förlängning. Men risken med denna ambition är att organisationen fastnar i detaljer som sedermera visar sig vara av mindre betydelse. Helt enkelt att man fastnar i sitt projekt och missar att komma i mål med det viktigaste förändringarna före den 25 maj.

Det sätt vi rekommenderar är en kombination av p.2 och p.3 - allt ska vara genomgånget och börja med det viktigaste först. Det är först när organisationen gjort en genomgång av hur de behandlar personuppgifter som de kan göra det viktigaste förändringarna och genomföra vederbörliga ändringar.

När organisationen kommit fram till genomförandet av p.2. och p.3 går projektet vidare i fasen efter den 25 maj. GDPR handlar hela tiden om att bli bättre och att arbeta med att utveckla det inbyggda dataskyddet.

Jag är övertygad om att GDPR kommer att vara en naturlig del av den moderna organisationes DNA ungefär lika naturligt som att vi förväntas sköta vår bokföring.

Enligt min mening kommer det dessutom att vara en kvalitetsstämpel för de organisationer som tar detta på allvar och genomför de nödvändiga förändringarna i sin organisation. Ett genomförande, på rätt sätt, kommer att öka förtroendet för organisationen och göra att fler kommer att vilja göra affärer med organisationen.

Som en avslutande reflektion kan jag skildra en sak som fick mig att tänka efter när jag och Monika höll en föreläsning för upphandlare på kommuner och myndigheter: de organisationer som inte gjort sin GDPR- hemläxa kommer inte att klara de obligatoriska kraven i de flesta upphandlingar som görs efter den 25 maj 2018.

När detta gick upp för mig insåg jag hur stor förändring GDPR är för samhället och våra rättigheter som fysiker att få vår integritet respekterad.

 

Advokaten Dag Wetterberg är en av författarna till boken "Dataskyddsförordningen GDPR - förstå och tillämpa i praktiken" 

Artikeln är också publicerad i senaste utgåvan av Advokaten.

 

 

 

 

 


Gratis nyhetsbrev om rättsfall och juridik - klicka här 

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt