search bubble news heart bars angle-right angle-up angle-down Twitter Facebook linkedin close clock map-marker calendar
  • Praktisk juridik

GDPR – några saker att tänka på inför den 25 maj 2018

Den 25 maj 2018 får Europa en ny gemensam och harmoniserad lagstiftning rörande dataskydd: dataskyddsförordningen (GDPR). GDPR blir direkt tillämplig i hela EU men kommer även att kompletteras med nationella bestämmelser av olika slag. GDPR kommer att gälla som lagstiftning i Sverige vid införandet och ersätter personuppgiftslagen och personuppgiftsförordningen.

Det är organisationen (företaget eller myndigheten) som ansvarar för att skyldigheter förtydligas och utökas och att de registrerades rättigheter förstärks. Ytterst är det styrelsen i företag/föreningar eller kommunernas nämnder som är ansvariga för att regleringarna följs.

En av de största och mest uppmärksammade förändringarna är de utökade möjligheterna för Datainspektionen att besluta om administrativa sanktionsavgifter. Genom GDPR införs det möjligheter att i vissa fall besluta om en administrativ sanktionsavgift på upp till

20 miljoner euro eller 4 procent av vissa organisationers omsättning om en organisation missköter sin behandling av personuppgifter.

Begreppet personlig integritet finns både i grundlag och lag samt i ett antal konventioner som Sverige ratificerat. Svensk grundlag ger ett grundläggande skydd för den personliga integriteten utöver det skydd som följer av att lag eller annan föreskrift inte får meddelas i strid med Europakonventionen. Frågan om personlig integritet regleras dessutom i sex konventioner som Sverige ratificerat varav en är den världsomfattande FN-stadgan.

Denna artikel tar upp en del saker som personuppgiftsansvariga och personuppgiftsbiträden bör tänka på och förbereda sina organisationer för inför den 25 maj 2018.

Vad är det som händer och varför är det en sådan hype runt GDPR?

I huvudsak handlar hypen runt dataskyddsförordningen (GDPR) kring det faktum att övertramp av GDPR kan innebära avsevärda sanktionsavgifter för en organisation. En annan sak som inte varit lika uppmärksammad är de rigorösa informationskrav som ställs på en organisation samt skyldigheten att inom en månad redovisa vilken behandling av den registrerades personuppgifter som företagits.

Vid en jämförelse med personuppgiftslagen (PuL) innehåller GDPR följande nyheter och konsekvenser:

Höga sanktionsavgifter

Sanktionsavgifter upp till 20 miljoner euro eller 4 procent av ett företags omsättning. Myndigheter kan få betala sanktionsavgifter på upp till 10 miljoner kronor.

Missbruksregeln försvinner

Regleringen om ostrukturerade personuppgifter och missbruksregeln (som är en svensk särreglering) försvinner vid införandet av dataskyddsförordningen.

Profilering

Det införs ett rigoröst regelverk för så kallad profilering. Detta införs för att skydda EU-medborgares integritet. Det blir helt enkelt svårare för organisationer att profilera sina kunder brett.

Nya principer

Öppenhet, integritet, konfidentialitet och ansvarsskyldighet. Exakt vad som ryms i dessa nya begrepp får en klarare betydelse efter införandet av dataskyddsförordningen då en ny rättspraxis bildas.

Ökad informationsskyldighet

Den personuppgiftsansvarige kommer att få en utökad informationsskyldighet då den som vill efterfråga uppgifter (den registrerade) kan göra det när hen vill. Den personuppgiftsansvarige måste lämna uppgifter inom en månad med en månads förlängning om den personuppgiftsansvarige kan visa ett tydligt behov. Om den registrerade begär utdrag elektroniskt ska hen även få informationen elektroniskt och kostnadsfritt. Den personuppgiftsansvarige ska kunna lämna information om de åtgärder som gjorts och ge klar, enkel och lättfattlig information samt underlätta den registrerades utövande av sina rättigheter.

Dataportabilitet

Regleringen om dataportabilitet tar bland annat sikte på sociala nätverk som Twitter, Facebook och Linked­in. Den registrerade har enligt denna reglering rätt att överföra sina personuppgifter från till exempel Twitter till Facebook. Denna reglering är inte begränsad till sociala nätverk, varför den kan gälla många personuppgiftsansvariga.

Personuppgiftsincidenter

I reformen har en tvingande reglering om anmälan av personuppgiftsincidenter till Datainspektionen införts. Den personuppgiftsansvarige ska göra en sådan anmälan inom 72 timmar från att incidenten inträffat. Den som är personuppgiftsbiträde ska rapportera till den personuppgiftsansvarige. Ibland måste även den personuppgiftsansvarige rapportera till den registrerade.

Rätten till radering

En registrerad person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser hen raderas.

Barns samtycke

Regleringar införs rörande barns samtycke. I dataskyddslagen föreslås samtyckesåldern bli 13 år i Sverige.

Sammantaget är GDPR ett uttryck för lagstiftarens vilja att stärka den registrerades rättigheter (fysikerns) att få sin integritet respekterad. Således har denna lagstiftning egentligen ingenting med it-rätt att göra utan är en offentligrättslig lagstiftning som tar sikte på att skydda privatpersoners integritet.

Anledningen till att denna lagstiftning, och även PuL, har kategoriserats som it-rätt är att frågorna ofta hamnat på organisationens it-avdelning eller externa it-support. När en organisation ska genomföra införlivandet av GDPR i sin organisation är det min starka rekommendation att styrelse och ledning (verksamheten) leder genomförandet av projektet även om it och juridik är en viktig del för ett lyckat GDPR-projekt. Av illustrationen nedan är det alltså i verksamheten som projektet genomförs och där it och juridik kopplas på som viktiga komponenter för ett lyckat projekt.  

Nedan skriver jag om hur vi som rådgivare lyckats genomföra lyckade GDPR-projekt hos organisationer, helt enkelt några saker advokater kan ta med sig som rådgivare i de GDPR-projekt som ni deltar i.  

Kännetecknande för GDPR och hur man kan driva ett GDPR-projekt

GDPR är en omfattande lagstiftning med 178 skäl och 98 artiklar. Det säger sig självt att det är en stor utmaning för alla organisationer att ta sig an och införliva en sådan lagstiftning i sin verksamhet. Hur ska man göra då?

Min medförfattare till boken: Dataskyddsförordningen GDPR. Förstå och tillämpa i praktiken, Monika Wendleby, beskriver en metod som går ut på att vi anger tre påståenden till huvudmannen som sedan får välja ett eller para ihop flera påståenden:

  1. Allt ska vara rätt;
  2. Allt skall vara genomgånget;
  3. Börja med det viktigaste först.

Utifrån GDPRs komplexitet och avsaknaden av rättspraxis tror vi inte att någon organisation klarar av punkt 1 – allt ska vara rätt. Det är en bra ambition och något som organisationen kanske klarar av i en förlängning. Men risken med denna ambition är att organisationen fastnar i detaljer som sedermera visar sig vara av mindre betydelse. Helt enkelt att man fastnar i sitt projekt och missar att komma i mål med det viktigaste förändringarna före den 25 maj 2018.

Det sätt vi rekommenderar är en kombination av punkterna 2 och 3 – allt ska vara genomgånget och börja med det viktigaste först. Det är först när organisationen gjort en genomgång av hur de behandlar personuppgifter som de kan göra de viktigaste förändringarna och genomföra vederbörliga ändringar.

 När organisationen kommit fram till genomförandet av punkterna 2 och 3 går projektet vidare i fasen efter den 25 maj. GDPR handlar hela tiden om att bli bättre och att arbeta med att utveckla det inbyggda dataskyddet.

Jag är övertygad om att GDPR kommer att vara en naturlig del av den moderna organisationens DNA, ungefär lika naturligt som att vi förväntas sköta vår bokföring.

Enligt min mening kommer det dessutom vara en kvalitetsstämpel för de organisationer som tar detta på allvar och genomför de nödvändiga förändringarna i sin organisation. Ett genomförande, på rätt sätt, kommer att öka förtroendet för organisationen och göra att fler kommer att vilja göra affärer med organisationen.

Som en avslutande reflektion kan jag skildra en sak som fick mig att tänka efter när jag och Monika höll en föreläsning för upphandlare på kommuner och myndigheter: De organisationer som inte gjort sin GDPR-hemläxa kommer inte att klara de obligatoriska kraven i de flesta upphandlingar som görs efter den 25 maj 2018. När detta gick upp för mig insåg jag hur affärskritiskt det kommer att vara för organisationer att anpassa sin verksamhet till GDPR, inte minst för att man annars riskerar att förlora potentiella affärer och vitala samarbeten.

Dag Wetterberg
Advokat

Dag Wetterberg är advokat och författare. Han har skrivit Medierätt – en handbok (Norstedts Juridik 2014) samt Dataskyddsförordningen GDPR. Förstå och tillämpa i praktiken (Sanoma Utbildning 2018).