×
Vi
bild
logo

Artikel från Advokatfirman Lindmark Welinders webbplats lwadvokat.se

Fångat på vår radar

Skärpta regler
för dataskydd
kräver anpassning

I april 2016 beslutade EU om en allmän dataskyddsförordning, General Data Protection Regulation (GDPR), som kommer att träda i kraft den 25 maj 2018 och då gälla som tvingande lagstiftning i hela EU. Regelverket påverkar alla myndigheter, företag och andra typer av organisationer, oavsett bransch, som i sin verksamhet hanterar personuppgifter.

Dataskyddsförordningen har utformats för att ersätta EU:s nuvarande personuppgiftsskydd i EU:s Dataskyddsdirektiv (95/46/EG) från 1995. I Sverige kommer den att ersätta den nuvarande Personuppgiftslagen (1998:204) (PuL), men kan även komma att vidare kompletteras med ytterligare svenska nationella särregler.

Enhetlig och harmoniserad lagstiftning

Tanken bakom GDPR är dels att harmonisera användning, hantering och behandling av personuppgifter inom den Europeiska unionen genom en enhetlig dataskyddslagstiftning och motverka nuvarande alltför fragmenterade nationella regleringar. Dels att anpassa europeisk lagstiftning efter den ökade betydelse som personuppgifter fått i dagens affärsmiljö i takt med tillväxten av den digitala ekonomin och de olika sätt på vilket stora mängder personuppgifter insamlas, lagras och utbytes av olika aktörer.

Den nya förordningen innebär en markant förändring i synen på hantering och skydd av personuppgifter och innebär skärpta regler för hur man får samla in, ge tillgång till, lagra och hantera persondata. Ett grundläggande syfte med GDPR är rätten till privatlivet och skyddet av fysiska personers personuppgifter och integritet. Stor vikt läggs därför vid att skydda EU:s medborgare från integritets- och dataintrång och att tillvarata deras fri- och rättigheter. 

Något om vad som är nytt

Bland de viktigaste nyheterna i GDPR är en geografiskt bredare räckvidd som innebär att reglerna gäller för alla myndigheter, företag och andra typer av organisationer som behandlar personuppgifter knutna till personer bosatta inom unionen, oberoende av om verksamheten är etablerad inom eller utanför EU eller om behandlingen av personuppgifterna utförs inom eller utanför unionens gränser. 

Med "behandling" avses varje åtgärd beträffande personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, strukturering, lagring, bearbetning eller ändring, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanföring, radering eller förstöring av personuppgifter. 

Definitionen av vad som utgör personuppgifter har också breddats till att omfatta varje uppgift som avser en identifierad eller identifierbar fysisk person, som innebär att denne direkt eller indirekt skulle kunna identifieras. Typiska personuppgifter är förstås personnummer, namn och adress. Men även foton på personer eller ljudinspelningar av identifierbara röster som lagras elektroniskt klassas som personuppgifter. Likaså kan registreringsnumret på en bil utgöra en personuppgift om det går att knyta det till en enskild fysisk person. Detsamma gäller i fråga om IP-nummer. Omfattas gör även så pass utmärkande uppgifter om exempelvis någons arbetsförhållanden, såsom "VD:n på företaget X", att en viss given person kan utpekas. 

Det ställs striktare krav kring den registrerades samtycke; såsom en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar att personuppgifter som rör honom eller henne samlas in och behandlas. Likväl som att ett sådant samtycke enkelt ska kunna dras tillbaka när som helst. 

En annan betydande förändring är att det införs direkta skyldigheter även för den som i praktiken hanterar personuppgifterna (så kallade personuppgiftsbiträden), och inte enbart för den personuppgiftsansvarige som bestämmer över ändamålen och medlen för behandlingen av personuppgifterna. Personuppgiftsansvarig är vanligen en juridisk person; en myndighet, ett företag eller någon annan typ av organsiation, men det kan också vara en fysisk person som exempelvis bedriver enskild näringsverksamhet. Medan personuppgiftsbiträdet kan vara såväl en fysisk som juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning (exempelvis en konsultverksamhet eller en underleverantör).

Företag och andra organisationer som i sin verksamhet hanterar personuppgifter måste säkerställa att alla register och andra tekniska system som bearbetar personuppgifterna har sina egna inbyggda dataskyddssystem. Under vissa omständigheter kan man också vara skyldiga tillsätta ett särskilt dataskyddsombud för att säkerställa att hanteringen av personuppgifter sker korrekt. Samtidigt som dessa ersätter dagens personuppgiftsombud ökar också kraven på deras kompetens och särskilda kunskaper om lagstiftning och praxis kring dataskydd. 

Det införs även tvingande regler om att man som personuppgiftsansvarig är skyldig att inom 72 timmar rapportera alla personuppgiftsincidenter till behörig nationell tillsynsmyndighet (vilket i Sveriges fall är Dataskyddsinspektionen), och även i vissa fall utan onödigt dröjsmål informera den enskilda individen, om det sannolikt föreligger en hög risk att dennes rättigheter och friheter kan ha blivit kränkta på grund av incidenten eller om dennes integritet kan ha blivit hotad (exempelvis om det kan finns risk för id-stöld eller bedrägeri). 

Såsom personuppgiftsincident avses alla typer av händelser som leder till en oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter, eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Det kan exempelvis handla om ett dataintrång på en av företagets servrar, att någon anställd obehörigen tagit del av personuppgifterna eller att ett usb-minne med personuppgifter tappats bort, men också om sådan behandling av personuppgifter som skett av misstag eller som skett utan ett föregående samtycke av den registrerade.

Förstärkta rättigheter för enskilda

Förordningen innebär inte enbart nya regler för de som samlar in och använder persondata, utan medför också en ny uppsättning rättigheter till förmån för den enskilde individen, vars personuppgifter det är som samlas in, registreras och behandlas av olika myndigheter, företag och andra organisationer.

Enligt GDPR ska den som registrerats enkelt ges tillgång till sina egna personuppgifter och har rätt att få veta vilka uppgifter som behandlas, till vilket syfte och vart uppgifterna lagras. Likaså ges den registrerade en rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade, alternativt, med beaktande av ändamålet med behandlingen, rätten att komplettera ofullständiga personuppgifter.

Den registrerade ska även ha rätten att få bli "bortglömd” genom att, utan onödigt dröjsmål, kunna få sina personuppgifter raderade, om de exempelvis inte längre är nödvändiga för de ursprungliga ändamål för vilka de samlats in eller på annat sätt behandlats. Detsamma gäller om den registrerade exempelvis återkallar sitt samtycke till fortsatt behandling eller på annat sätt invänder mot behandlingen, eller om personuppgifterna exempelvis behandlats  på ett olagligt sätt.

Dessutom ges rätten att kunna förhindra ytterligare spridning av personuppgifterna genom att exempelvis kunna stoppa en överföring eller koppling av personuppgifterna till en tredje part och förhindra en sådan från att vidare kunna behandla uppgifterna.

Tunga bötesstraff för att inte följa reglerna

För att säkerställa att GDPR kommer att följas införs ett system där tillsynsmyndigheter har att bevaka överträdelser av reglerna. Konsekvenserna av att inte följa de nya reglerna är förenade med sanktionsavgifter på upp till 20 miljoner € eller, om det gäller företag, på upp till 4 % av den totala globala årsomsättningen (på koncernnivå) under föregående budgetår, beroende på vilket värde som är högst.

För att undvika att risker drabbas av sådana betungande bötesstraff, måste företag och andra organisationer som hanterar personuppgifter i sin verksamhet dra nytta av det fönster som nu finns innan förordningen träder i kraft i maj 2018, och vidta nödvändiga åtgärder. Såsom att granska och utvärdera sina befintliga rutiner, integritetspolicy och tekniska system, identifiera eventuella avvikelser i relation till de nya reglerna, och anpassa sig inför att GDPR:s regelverk implementeras.


EU:s dataskyddsförordning GDPR kan du i svensk version läsa HÄR.


Notering: EU:s förordningar är allmängiltiga rättsakter inom unionen och riktar sig till alla unionens medlemsstater. Det är den kraftfullaste typen av unionsakter som utfärdas av EU och används för att införa enhetliga och direkt tillämpliga bestämmelser inom unionen. De är till alla delar bindande för medlemsstaterna, liksom för företag och enskilda personer inom EU, och gäller omedelbart utan behov av att omvandlas till nationell lagstiftning. Namnlikheten till trots ska de inte förväxlas med den svenska rättsakten förordning, som utfärdas av den svenska regeringen som ett medel för att meddela kompletterande föreskrifter till den av riksdagen beslutade lagstiftningen.

 


LÄS ÄVEN VÅR BROSCHYR: Dataskyddsförordningen - en översikt om de nya reglerna, där vi på ett lättillgängligt sätt guidar dig igenom det nya regelverket. Broschyren kan lämpligen laddas ned med hjälp av länken nedan. Trevlig läsning!

 


Broschyr_Dataskyddsforordningen.pdf (15461 kb)