Är du redo för gdpr?

2018-01-25 00:00 Hanna Larsson  
Stressad över det nya regelverket för personuppgifter? Lugn, bara lugn; Lag & Avtal reder ut EU:s dataskyddsförordning, gdpr, med fokus på hur svenska arbetsgivare och fackförbund påverkas.

Den 25 maj, börjar dataskyddsförordningen gdpr gälla. Har du och ditt företag koll på vad som krävs av er? Upp till tio miljoner kronor i sanktionsavgift väntar svenska företag eller myndigheter som bryter mot reglerna, som bland annat innebär att alla som registreras måste samtycka till att uppgifterna sparas.

Få verksamheter lämnas oberörda när EU:s nya data­skyddsförordning, gdpr, träder i kraft i maj. Men vad innebär den i praktiken? Och hur påverkas svensk lagstiftning?

Den 25 maj börjar EU:s nya dataskyddsförordning, General Data Protection Regulation, gälla som lag i samtliga EU-länder. Syftet är att skapa en harmoniserad lagstiftning gällande personuppgifter inom EU, men också hindra att personlig data används på ett integritetskränkande sätt. Och ingen lämnas oberörd. Gdpr omfattar alla företag och organisationer som behandlar personuppgifter - det vill säga namn, bilder, e-postuppgifter, ip-adresser eller andra uppgifter som kan kopplas till en enskild individ. Även privatpersoner som behandlar personuppgifter för annat än enskilt bruk omfattas av förordningen.

Att bryta mot den nya förordningen kan dessutom bli extremt dyrt. Högsta administrativa böterna för företag är 4 procent av den globala årsomsättningen, eller 20 miljoner euro. Böterna döms ut av den nationella tillsynsmyndigheten, i Sveriges fall Datainspektionen, som kommer att döpas om till Integritetsskyddsmyndigheten.

– Pengarna gör att alla har panik. Tidigare har högsta böterna i Sverige varit runt 50 000 kronor, säger Johan Hübner, som jobbar på advokatfirman Delphi och är specialiserad på it-relaterad juridik och immaterialrätt.

Han beskriver förordningen som en utökning och skärpning av personuppgiftslagen, pul, och påpekar att en stor del av utmaningen är att många verksamheter inte lagt tillräckligt med tid och resurser på att följa pul fullt ut.

– De har nu en hel del att göra och inte särskilt mycket tid att göra det på. Men de flesta som följer personuppgiftslagen i dag behöver inte ha panik, säger Johan Hübner.

Läs mer: Så påverkas du som arbetsgivare av gdpr

VILKA PERSONUPPGIFTER som får behandlas påverkas nämligen inte av gdpr. Precis som i dag måste det finnas laglig grund för att behandla personuppgifter, till exempel samtycke från den registrerade. Uppgifterna måste även fortsättningsvis vara korrekta, och det är inte tillåtet att lagra fler personuppgifter än nödvändigt, eller längre tid än vad som krävs, för att nämna några exempel.

Så vilka är de stora nyheterna?

Förutom sanktionerna är en viktig nyhet att den så kallade missbruksregeln försvinner. Missbruksregeln innebär att behandling av ostrukturerade personuppgifter, i till exempel e-post eller enklare listor på datorn, inte omfattats av lika stränga regler som strukturerad behandling, till exempel i en databas. Men i och med gdpr kommer alla personuppgifter omfattas av samma lagkrav. Det tycker Sören Öman är problematiskt. Han är särskild utredare i Socialdataskyddsutredningen och ordförande i Arbetsdomstolen, och har själv skrivit missbruksregeln.

– Hur ska vi kunna följa de 99 artiklarna i förordningen varje gång vi skriver ett mejl? Hur kan vi förhindra att någon i organisationen skriver att Ulla i receptionen är sjuk i dag och ersätts av Nisse? Det är ett exempel på varför vi tyckte missbruksregeln var nödvändig, säger han.

Andra exempel på nyheter i den nya förordningen är att säkerhetskraven kring personuppgifter skärps, likaså kraven på information till registrerade. Dessutom införs dokumentationskrav kring hanteringen av personuppgifter som innebär att företag och myndigheter vid var tid måste kunna visa upp dokumentation på sitt arbete med integritetsfrågor och peka på vilka åtgärder som vidtas för att följa förordningen. Gdpr lagfäster även rätten att bli bortglömd, som innebär att organisationer i vissa fall måste radera alla uppgifter om en registrerad om den registrerade kräver det.

När det gäller svensk lagstiftning är största skillnaden att personuppgiftslagen försvinner och ersätts av gdpr. Eftersom denna ger medlemsländerna rätt att stifta nationella lagar på vissa områden håller även en svensk dataskyddslag på att tas fram. Här föreslås bland annat att barn som är minst 13 år ska kunna samtycka till viss behandling av personuppgifter. Andra exempel i lagförslaget är att även myndigheter ska kunna omfattas av sanktionerna, men att lagen och förordningen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Propositionen till den nya lagen läggs fram i februari, och lagändringarna föreslås träda i kraft 25 maj 2018.

– Men i övrigt påverkas svensk lagstiftning inte nämnvärt av gdpr, säger Sören Öman.

Han slutförde nyligen arbetet med att se över alla lagar under social­departementet, vilket omfattar såväl socialtjänstens lagstiftning som patientdatalagen.

- Några ändringar i sak behövdes inte. Det blev bara mindre justeringar, och alla hänvisningar till pul fick ändras, säger Sören Öman.

En stor utmaning med gdpr, enligt flera experter Lag & Avtal talat med, är att förordningen är generellt skriven och i många fall svår att tolka.

Läs mer: Så gör facket för att anpassa sig till det nya regelverket

– Förordningar har en tendens att vara småluddiga, men det brukar vara tydligare än såhär. Och det finns ingen rättspraxis eftersom gdpr inte trätt i kraft än, säger Johan Hübner.

Därför är det också svårt att säga vad konsekvenserna för brott mot regelverket kommer att bli, eller hur hård tillsynsmyndigheten kommer att vara. Men Sören Öman påpekar att bötesbeloppen 4 procent av omsättningen eller 20 miljoner euro är de absolut högsta, och främst avsedda för stora globala företag som Google, Face­book och liknande.

– Jag tror inte att mindre företag som gör små fel kommer drabbas av miljonböter, säger Sören Öman.

– Jag tror det blir svårt att uppfylla reglerna till hundra procent. Men den som gör sitt bästa har förmodligen inte så mycket att oroa sig för, så länge de inte helt missuppfattat reglerna, säger Johan Hübner.

Läs mer: Den nya yrkesrollen – dataskyddsombud

Johan Hübner menar att de som kommer ha störst bekymmer är företag som använder personlig data som affärsidé, som sociala medier, dagligvarukedjor, e-handlare och spelbolag.

– De är i hög utsträckning måltavla för lagstiftningen. Information är den nya oljan, och personuppgifter ger stora möjligheter att rikta reklam och skapa nya affärsmöjligheter, säger han.

Behandling av personuppgifter

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel:

* insamling

* registrering

* organisering

* strukturering

* lagring

* bearbetning

* ändring

* framtagning

* läsning

* användning

* utlämning

* spridning eller tillhandahållande på annat sätt

* justering eller sammanförande

* begränsning

* radering eller för­störing

Källa: datainspektionen.se

 

Sex principer för behandling av personuppgifter

1. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

2. De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

3. De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

4. De ska vara korrekta och om nödvändigt uppdaterade.    Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

5. De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.*

6. De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

* Med vissa undantag för arkiv­ändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, eller statistiska ändamål.

Källa: Dataskyddsförordningen, art. 5Sex principer för behandling av personuppgifter

1. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

2. De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

3. De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

4. De ska vara korrekta och om nödvändigt uppdaterade.    Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

5. De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.*

6. De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

* Med vissa undantag för arkiv­ändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, eller statistiska ändamål.

Källa: Dataskyddsförordningen, art. 5

Hanna Larsson

Kommentarer

Välkommen att säga din mening på Lag & Avtal.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Lag & Avtal eller av oss anlitad personal.

  Kommentarer

Tidningen