search bubble news heart bars angle-right angle-up angle-down Twitter Facebook linkedin close clock map-marker calendar
  • Advokatdagarna

Dataskyddsförordningen ställer nya krav på leverantörer

EU:s nya dataskyddsförordning (EU) 2016/679 träder i kraft den 25 maj 2018. Förordningen ersätter den svenska personuppgiftslagen (PUL).

Advokat Karl-Fredrik Björklund och Caroline Olstedt Carlström, internationell dataskyddschef vid e-betalningslösningsleverantören Klarna och tidigare advokat, redogjorde för några av de viktigaste nyheterna i förordningen och gav praktiska tips om hur man kan ge mervärde till klienterna i rådgivningen om personuppgiftsfrågor.
En stor förändring är att ”missbruksregeln” i PUL 5 a § inte finns i förordningen. Karl-Fredrik Björklund förklarade att Sverige sedan 2007 har haft ett nationellt undantag för behandling av ostrukturerat material, till exempel i löpande text, mejl, PM, protokoll. Vi har kunnat strunta i PUL när det inte har varit fråga om sökbara register.
– Detta upphör! Nu ska ni ge information om allt, sa Björklund.

Men Björklund gissade att EU:s nya dataskyddsmyndighet kan komma med ett uttalande som innebär ett undantag som motsvarar det i PUL 5 a §.
Artiklarna 6 och 7 i förordningen innebär att otvetydigt samtycke är tillräckligt för att behandla personuppgifter. Information om vad det omfattar måste presenteras tydligt. Det är också tillräckligt att behandlingen är nödvändig på annan grund, som för att fullgöra ett kundavtal, eller att den kan göras efter en intresseavvägning om syftet är gott och uppgifterna om individen inte är alltför känsliga.

Caroline Olstedt Carlström varnade:
– Gör allt för att hålla er undan från samtycke! Regeln är krånglig och kommer att bli ännu mycket krångligare. Om det finns någon annan legal grund för behandlingen av uppgifter, så använd den!

En annan stor nyhet finns i förordningens artikel 12 om elektronisk tillgång till personuppgifter: Nu ska den som är registrerad kunna begära registerutdrag också elektroniskt, inte bara genom en undertecknad skriftlig begäran – och har då rätt att även få uppgifterna i elektronisk form. Det innebär problem att identifiera personen som begär utdrag. Det kan krävas autentisering med Bank-ID eller liknande. Man får inte skicka registeruppgifterna elektroniskt på öppna nät, utan kan behöva skicka på ett skyddat sätt.

Genom artiklarna 13 och 14 införs långtgående krav på att ge en stor mängd information till individerna när man påbörjar behandlingen av deras uppgifter, även om det bara handlar om till exempel utgående e-post.

Artikel 20 inför en rätt till uppgifts­portabilitet. En kund som exempelvis vill byta bank eller försäkringsbolag har rätt att få sina registrerade uppgifter från den tidigare leverantören på ett medium som en minnessticka, eller skickade till sig elektroniskt.
Förordningen innehåller nya bestämmelser om transparens: När leverantören börjar behandla uppgifterna ska den informera om att kunderna har rätt till radering (artiklarna 17–19) och rätt att göra invändningar mot behandling av personuppgifter (artikel 21).

Artikel 25 ställer krav på ”privacy by design”. Det innebär krav på att ett högt integritetsskydd byggs in från början i processer och system.
– När man upphandlar nya it-system ska man se till att de stöder regelverket, sa Björklund.

Artikel 32 om säkerhet vid personuppgiftsbehandling kräver bland annat att leverantören beaktar pseudonymisering och kryptering av personuppgifter, så att inte många i onödan har tillgång till individinformation, samt ser till att upprätthålla konfidentialitet och tillförlitlighet i uppgifterna.
En skyldighet införs att underrätta Datainspektionen, och i vissa fall de registrerade, om dataintrång enligt artiklarna 33 och 34. Och artikel 36 om förhandssamråd kräver att man samråder med Datainspektionen vid vissa sorters riskfylld behandling av uppgifter.

Företag kan åläggas höga sanktioner enligt artikel 83 om de överträder förordningens bestämmelser: upp till 20 miljoner euro eller 4 procent av företagets årliga globala omsättning. Det är inte helt klart hur beloppet ska fastställas.
– Vi vet inte om beloppet ska beräknas på hela koncernens eller företagets omsättning, sa Björklund

Magnus Andersson
Annons
Annons