KRÖNIKA – av Jenny Lundberg, advokat, och Linda Stjerna, jur. kand. i arbetsrättsgruppen på Baker & McKenzie Advokatbyrå
Som den svenska personuppgiftslagen (PUL) är skriven ägnar sig i princip alla företag åt någon typ av personuppgiftsbehandling, vare sig det är begränsat till grundläggande personaladministration eller också omfattar kunduppgifter.
Definitionen av vad som är en personuppgift är mycket omfattande. All information som direkt eller indirekt kan kopplas till en levande person, inklusive IP-adresser, anses vara personuppgifter. Undantaget för ostrukturerad behandling är väldigt sällan tillämpligt i och med dagens automatiserade informationshanteringssystem.
Dessutom överförs personuppgifter ofta till andra företag, exempelvis för lönehantering, bokföringstjänster och till centraliserade funktioner (ofta HR) i andra länder. Den typen av överföringar kräver normalt sett att ett avtal om personuppgiftsbiträde ingås. Ska personuppgifterna dessutom överföras till ett land utanför EES-området ställs ytterligare krav på att säkerhetsåtgärder vidtas och att relevant dokumentation upprättas.
Av PUL framgår att ett personuppgiftsansvarigt företag, det vill säga det företag som samlar in personuppgifter och som bestämmer syftet med varför de samlas in, som huvudregel ska anmäla sin personuppgiftsbehandling till Datainspektionen om inte något undantag föreligger som till exempel att företaget för en intern förteckning över sin personuppgiftshantering eller har utsett ett personuppgiftsombud.
Skadestånden för att inte fullt ut följa PUL är idag låga. Det som drabbar företag som inte iakttar lagar och regler om personuppgifter idag är framförallt ”bad will” eller dåligt rykte för att tala klarspråk. Men även negativ publicitet i media och risken att begå avtalsbrott då allt fler företag i sina allmänna villkor kräver att motparten ska efterleva bland annat PUL.
Dyrare blir det däremot för företagen när den nya dataskyddsförordningen träder i kraft. Då kommer skadeståndsnivåerna att öka kraftigt när dagens administrativa tillrättavisningar ersätts med mångmiljonsböter. Den naturliga konsekvensen blir att PUL-efterlevnad framöver inte längre kommer att vara en ”mjuk” fråga som företag har råd att bortprioritera till förmån för andra områden.
Vi tror också att fler och fler företag kommer att anställa personer som arbetar uteslutande med efterlevnad av PUL. Det innebär att personuppgiftsombudens roll kommer att förstärkas framöver. I dataskyddsdirektivet finns dessutom ett förslag på att det ska vara krav på företag att framöver ska utse personuppgiftsombud.
Men fullständig PUL-efterlevnad sträcker sig egentligen längre än så. Det räcker inte att ha en ungefärlig uppfattning om vilka personuppgifter som behandlas och hur det säkerställs att de bara används för det syfte de samlats in. Såväl anställda som konsumenter och kommersiella affärspartners visar en tydligt ökad medvetenhet när det gäller personuppgiftshantering och medierapporteringen när något går fel är ofta omfattande.
Vår inställning är att det egentligen är ganska lätt att följa dagens regler för personuppgiftshantering och vår slutsats efter att ha granskat den nya förordningen är att det inte kommer att vara särskilt besvärligt framöver heller. Den uppfattningen bygger dock på antagandet att företagen gör rätt från början.
Vi ser en markant ökning, såväl i Sverige som internationellt, i antalet frågor som rör personuppgiftshantering från våra klienter. PUL-revisioner är utan tvekan det nya svarta. Att inte i varje led kontrollera sin personuppgiftsbehandling likställs med att förvalta kapital eller egendom åt någon annan utan att säkerställa regelefterlevnad eller ha vidtagit tillräckliga skyddsåtgärder.
Vi menar att personuppgifter i högre utsträckning måste hanteras som just någon annans tillgångar.
Tiden att se över sin personuppgiftshantering är nu. Snart går PUL-tåget och det kommer att bli kostsamt att stå kvar på perrongen.
Skribenterna arbetar på arbetsrättsgruppen på Baker & McKenzie Advokatbyrå – som regelbundet skriver om arbetsrätt i Dagens Juridik.
