search bubble news heart bars angle-right angle-up angle-down Twitter Facebook linkedin close clock map-marker calendar
  • Nyhetsreportage

Dataskyddsförordningen: Många frågor kvar med reformen

Snart träder dataskyddsförordningen i kraft. På advokatbyråerna arbetas det febrilt för att anpassa personuppgiftshanteringen till de nya reglerna. Fortfarande återstår dock en hel del frågetecken kring hur förordningen ska tillämpas.

Den 25 maj träder EU:s nya dataskyddsförordning, GDPR, i kraft. Förordningen innebär en rad nya krav på alla företag och organisationer som hanterar personuppgifter, och dessutom hot om höga sanktionsavgifter.

Många advokatbyråer arbetar förmodligen hårt in i det sista för att kunna följa reglerna, och undgå hotet om höga böter. Och även lagstiftaren har fått spurta för att hinna med. Först den 18 april antogs förslaget till ny dataskyddslag som kompletterar förordningen av riksdagen. En månad tidigare, i mars, presenterade Advokatsamfundet sin vägledning för tillämpningen av EU:s dataskyddsförordning i advokatverksamhet.

Advokatbyrån Mannheimer Swartling inledde arbetet med dataskyddsförordningen för omkring ett år sedan. Allt sedan dess har en kärntrupp bestående av advokaten och chefsjuristen Karin Faxén Ågrup, it-chefen Eva Palm och ytterligare två jurister arbetat intensivt med att implementera det nya regelverket. En större grupp, med partners och advokater specialiserade på dataskydd och representanter för de olika supportavdelningarna, finns dessutom knuten till arbetet, liksom samtliga verksamhetsgrupper vid byrån.

– Vi började med att inventera vår användning av personuppgifter, både i olika supportfunktioner och i själva verksamheten, berättar Karin Faxén Ågrup.

Tidigt i höstas fanns ett register över personuppgiftsanvändningen klart.

– Utifrån detta betar vi nu av alla gallringsfrågor och juridiska frågeställningar i samband med det. Det har vi hållit på med sedan hösten. Nu försöker vi knyta ihop det stora, stora spindelnätet med systemförteckningar och register och alla olika informationstexter som ska ut till klienter, leverantörer, anställda och andra parter, säger Karin Faxén Ågrup, som räknar med att detta arbete blir färdigt ungefär vid månadsskiftet april–maj.

Advokatsamfundets vägledning är till god hjälp i detta, enligt Karin Faxén Ågrup.

Eva Palm, it-chef, spelar naturligtvis en nyckelroll när hundratals system ska gås igenom och vid behov kopplas ihop. För henne är det just behovet av samordning av informationen i många och komplexa system som är den största utmaningen i arbetet med dataskyddsförordningen.

– Vi behöver väldigt mycket resurser och väldigt många olika kompetenser. Samtidigt som vi måste ha förståelse för verksamheten måste vi också kunna djupdyka i behovet av information, se de systemtekniska utmaningarna, och vad som händer om vi gallrar viss information, förklarar hon.

När de nya reglerna börjar gälla ska allt vara klart, från informationstexter till gallringsrutiner, påpekar Eva Palm.

Karin Faxén Ågrup tillägger att det just därför är mycket viktigt att byråns ledning och de olika verksamhetsgrupperna är med i processen.

– Alla måste förstå att det här inte bara är gruppens ansvar utan hela byråns, säger hon.

Även om det stora arbetet görs på central- och systemnivå kommer GDPR också att innebära vissa förändringar för de enskilda advokaterna och juristerna i vardagen, enligt Karin Faxén Ågrup.

– Alla måste troligen bli mer noggranna med att arkivera till exempel e-post i de elektroniska akterna, i stället för att låta dem ligga i sina egna inkorgar. Det ger bättre struktur och gör det därmed lättare att rensa om tio eller tjugo år, säger hon.

Frågetecken återstår

Eleonore Häger, HR manager på internationella advokatbyrån Linklaters Stockholmskontor, bedömer, när intervjun genomförs i april, att hennes byrå är på god väg att få allt på plats för att uppfylla dataskyddsförordningens krav.

− Vi har ett riskteam i London som har arbetat med den globala implementeringen av GDPR under en lång period. Nu fokuserar vi på de lokala delarna, säger hon.

Bortsett från att det är en mycket omfattande reglering återstår också en hel del frågetecken i hur förordningen ska tolkas, påpekar Eleonore Häger. Det är också här de stora svårigheterna i att få regleringen på plats finns.

– Förordningen begränsar hanteringen av personuppgifter, samtidigt som vi måste få verksamheten att fungera. Det är svårt att veta exakt hur implementationen ska genomföras på bästa sätt då det saknas praxis, säger Eleonore Häger.

Eleonore Häger ser stora fördelar i att vara en del av en internationell byrå. Det globala riskteamet fungerar som en samlingspunkt och kan kartlägga implementeringen i hela EU. Byrån kan därmed ta hjälp av andra länder och hur de arbetar med att tillämpa förordningen. Men mycket måste även anpassas till den nationella lagstiftningen och tillsynsmyndigheten. Här har Advokatsamfundets vägledning varit till god hjälp.

– I övrigt är det väldigt generella vägledningar, vilket gör det svårt. Praxis kommer att hjälpa till i det fortsatta arbetet med GDPR. Vi får följa den utvecklingen väldigt väl för att få tydligare riktlinjer på hur vi ska göra, säger Eleonore Häger.

Innebär byråkrati

Advokat Henrik Bengtsson ingår i den arbetsgrupp som tagit fram samfundets vägledning. Han konstaterar att det har varit ett svårt och omfattande arbete att få fram vägledningen, med få riktlinjer att följa. I brist på antagen lag har arbetsgruppen utgått från betänkandet med förslag till dataskyddslag, samt de riktlinjer som den så kallade Artikel 29-gruppen inom EU lämnat.

Henrik Bengtsson anser att förordningen, om man skulle tolka den bokstavligt, ställer upp regler som i delar kan göra det svårt att arbeta som advokat. Det blir därför viktigt att följa utvecklingen också framöver för att se hur de olika reglerna kommer att tillämpas, när förordningen möter verkligheten.

– Vägledningen är ett levande dokument som kommer att behöva uppdateras utifrån praxis och rekommendationer, säger Henrik Bengtsson.

Vilka blir då de största förändringarna för advokaterna när GDPR träder i kraft? Henrik Bengtsson trycker särskilt på två nyheter jämfört med personuppgiftslagen, PUL.  Den första är vad som kallas principen om ansvarsskyldighet. Principen innebär att företag och organisationer inte bara måste följa förordningen, utan också ska kunna visa att och hur det görs.

– Det innebär en hel del byråkrati, med förteckningar över register, policies och mer omfattande informationstexter om de registrerades rättigheter, säger Bengtsson.

En annan stor skillnad är den nya anmälningsskyldigheten för personuppgiftsincidenter. Dessa ska enligt GDPR anmälas till den nationella dataskyddsmyndigheten, i Sverige Datainspektionen, inom 72 timmar.

– 72 timmar är en kort tid, när någon exempelvis tappar bort en mobil, eller öppnar ett phishingmejl, påpekar Henrik Bengtsson, som tror att regeln kan komma att innebära att större verksamheter måste lämna sådana rapporter minst en gång i månaden.

Datainspektionen, å sin sida, kan förmodligen räkna med att bli överöst med rapporter innan det blivit ordentligt klargjort vad som egentligen behöver rapporteras. Myndigheten har själv räknat med att ta emot omkring 50 rapporter om dagen. Henrik Bengtsson tror att det blir ännu fler. 

– Ett problem i sammanhanget är att det inte gäller absolut sekretess för incidentrapporterna, säger Henrik Bengtsson.

Det innebär att alla incidentrapporter blir allmänna handlingar. Datainspektionen får sedan göra en sekretessprövning varje gång en rapport begärs ut. Henrik Bengtsson förutser att journalister, med dagens offentlighet, kan komma att begära ut incidentrapporter och skriva om dessa.

Datainspektionen delar uppenbarligen farhågorna. I en skrivelse till regeringen redan i juli 2017 efterlyste myndigheten ett starkare sekretesskydd.

– Vi befarar att risken för it-attacker mot företag, myndigheter och andra organisationer ökar redan om det genom incidentrapportering avslöjas vilken organisations it-system som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att över huvud taget anmäla incidenter, sa Datainspektionens chefsjurist och ställföreträdande generaldirektör Hans-Olof Lindblom i ett pressmeddelande om skrivelsen.

Hot om sanktioner inte värst

Det tycks alltså finnas ett antal frågor kvar att besvara kring dataskyddsförordningen. I vissa delar ser Henrik Bengtsson och den övriga arbetsgruppen också risker för att dataskyddsförordningens krav kan komma på kollisionskurs med advokaternas eget regelverk och etiska system.

Ett exempel på detta är att GDPR ställer krav på att personuppgifter raderas när de inte längre behövs, medan Advokatsamfundets vägledande regler föreskriver tio års arkiveringsskyldighet.

– Man får inte behålla uppgifterna längre än nödvändigt. Där har vi gjort bedömningen att nödvändigt är vad god advokatsed säger, förklarar Henrik Bengtsson.

En annan potentiell krockyta är informationsskyldigheten. Grunden i dataskyddsförordningen är nämligen att den som får sina personuppgifter lagrade alltid ska informeras om detta.

– Om jag håller på att förbereda ett mål i domstol eller gör en kartläggning av styrelseledamöterna inför förvärv av ett bolag, så behandlas en massa personuppgifter. Att då informera de registrerade om vad som sker går på tvären mot tystnadsplikten. Vår tolkning, för klienters bästa, är här att advokatsekretessen gäller före informationsskyldigheten, säger Henrik Bengtsson.

Mycket av uppmärksamheten kring dataskyddsförordningen har kommit att fokuseras på de höga sanktionsavgifterna. Och det är förstås svårt att inte slås av hotet om böter på 20 miljoner euro. Samtidigt tror inte Henrik Bengtsson att advokatbyråer generellt behöver oroa sig så mycket över risken för böter.

– Det ska i princip vara uppsåtligt och man ska inte ha rättat sig, och det ska vara grova överträdelser. Advokatbyråer står nog inte i första ledet här, säger han.

Inte heller Karin Faxén Ågrup tänker i första hand på sanktionsavgifterna i samband med GDPR. I stället är det risken för att förlora klienternas förtroende som utgör den största faran, menar hon.

− Nesan av att tappa personuppgifter är en större risk än stora sanktionsbelopp. Om vi till exempel skulle ha ett läckage så att utomstående kommer åt våra klientuppgifter, det tror jag är värre, säger hon. 

Finns fördelar

Det är uppenbart att implementeringen av dataskyddsförordningen krävt och kräver mycket arbete på advokatbyråerna. Men finns det då inga fördelar med reformen?

Karin Faxén Ågrup och Eva Palm svarar först med ett unisont nej. Efter lite skratt blir de sedan mindre kategoriska.

– På ett sätt gör det ju det, eftersom vi tvingas rensa bättre i systemen. Vi är ju annars väldigt sparsamma, som jurister ofta är. Nu har vi incitament att tvingas göra oss av med inaktuell information, säger Karin Faxén Ågrup.

Och Eva Palm ser fördelar ur ett informationssäkerhetsperspektiv. Visserligen hade byrån redan innan en hög nivå här. Men:

– Det här blir en genomlysning ur ett annat perspektiv, där vi kan checka av så att det inte finns några brister. Det har varit nyttigt, sammanfattar hon.

Även Eleonore Häger på Linklaters kan se vinster med de nya reglerna.

– Det finns stora fördelar med att fundera på vilka personuppgifter vi hanterar och varför. Att vi måste motivera varför vi behåller viss information och gallra bort det vi faktiskt inte behöver. Det är viktigt då det handlar om personer och deras integritet, säger hon, och berättar att Linklaters bland annat har investerat i ett nytt, globalt HR-system för att kunna samla hanteringen av alla personuppgifter i ett och samma system och därmed ha större kontroll. Systemet visar även tydligt den anställde vilka personuppgifter som Linklaters hanterar.

Ulrika Öster