Dataskyddsförordningen på förståelig svenska

Publicerad: 2017-02-09 av Draftit #GDPR #PuL #Digitalisering #Dataskydd
Beräknad lästid för inlägget: ca. 8 minuter

Agnes Hammarstrand DelphiOm jag är helt nollställd på den nya dataskyddslagen, hur ska jag göra? Ett samtal med advokat Agnes Hammarstrand

Det har säkert inte undgått dig att en ny dataskyddslagstiftning är klubbad på EU-nivå. Och har det undgått dig så är det ingen fara. I denna artikel kommer vi reda ut begreppen och svara på frågorna som många har men få vågar ställa.

Vi möter upp med advokat och delägare Agnes Hammarstrand från Delphi Advokatbyrå för ett samtal. Agnes var en av talarna på Draftits event Expo Dataskydd som anordnades i november 2016.

I botten har Agnes ett stort intresse för samhällsfrågor, något som ledde henne in på en karriär inom juridik. På Chalmers fick hon även upp ögonen för den digitala juridiken. Agnes brinner också för att utveckla yngre medarbetare och en jämställd advokatbransch. Mottot är att man ska tjäna eller spara pengar på att anlita en advokat.

Ladda ner PDF: Dataskyddsförordning - detta kan du göra redan nu

Vem är ansvarig för personuppgifter, hur ser ansvaret ut och vad är ett dataskyddsombud?

Vi börjar från början, med vem som har ansvar för hanteringen av personuppgifter. Vi frågar Agnes hur hon skulle förklara uppdraget för någon som precis fått ansvaret för personuppgiftshantering. Skiljer det sig om det är en företagsledare som fått ansvaret eller någon annan i organisationen?

Agnes menar att det måste ses som två frågor. Själva den legala personen, företaget eller myndigheten, ytterst VD och styrelse i ett företag är alltid ansvariga för all behandling av företagets personuppgifter. Det innebär att säkerställa att alla krav i lagen följs. Den som är personuppgiftsombud har ett speciellt ansvar för att kontrollera att den personuppgiftsansvarige följer bestämmelserna i lag, till exempel genom att granska rutinerna som organisationen har.

- Den som är personuppgiftsombud är inte ensamt ansvarig för att reglerna följs. Enligt nya förordningen antas en ny roll: ”dataskyddsombud”, med utökat ansvar och som ska få utökade resurser för att arbeta med frågorna.

Varför ser vi en ny förordning, och kommer gammalt arbete vara ogjort?

Det kommer alltså en ny förordning där rollen som dataskyddsombud introduceras. Lagstiftning är redan klubbad och man har på sig fram till maj 2018 för ordna upp sin hantering av personuppgifter. Men kommer förordningen ersätta Personuppgiftslagen (PuL) och måste vi då göra om allt arbete vi redan lagt ner? Agnes förklarar att dataskyddsförordningen kommer ersätta PuL i Sverige och motsvarande nationella lagar i andra EU-länder. Men det arbetet man redan lagt ner är inte ogjort.

- Lite förenklat bygger den nya lagen på den gamla. Många krav är liknande. Om ni har bra rutiner och processer på gång för att följa den gamla lagen har ni mycket redan gjort, även om t.ex. många dokument behöver uppdateras. 

Anledningen till att vi ser denna lagstiftning nu är för att EU vill stärka integritetsskyddet, undanröja digitala handelshinder inom EU samt möta teknikens förändringar med en ny lag. På många sätt är lagstiftningen även en motreaktion mot det växande övervakningssamhället online, med tjänster som har koll på vad vi gör och var vi är.

De viktigaste kraven i den nya lagstiftningen

Den nya dataskyddsförordningen (även kallad GDPR) är komplex. Och det är inte lätt att försöka sammanställa vilka krav som är viktigast, det beror nämligen på vem vi pratar om. Agnes förklarar att vissa krav är viktigast för de som arbetar med IT, vissa för ledningen och andra för HR. Generellt ska alla kunna visa att lagen följs och det innebär bland annat att:

  • Alla behandlingar ska ha en laglig grund

  • Uppgifter får inte behandlas längre än nödvändigt, i större utsträckning än nödvändigt, m.m.

  • Viss dokumentation och vissa rutiner behöver vara på plats, t.ex. personuppgiftsbiträdesavtal med de ni delar uppgifter med, information till registrerade, systemstöd för att radera uppgifter och begränsa åtkomst, m.m.

Räcker det att göra allt dataskyddsarbete en gång? Om inte, hur bör jag arbeta?

- Nej, detta är någonting som alla organisationer, företag och myndigheter behöver arbeta med löpande. Däremot behövs ett projekt för att förbereda er för den nya lagstiftningen. När det är genomfört behöver processer och rutiner samt ansvar underhållas.

Hur ser böter och skadestånd ut i samband med GDPR?

Det har talats en del om att det kommer bli höga bötesbelopp för de som missköter sig. Vi frågar Agnes om detta bara är skrämselpropaganda, eller om det kommer realiseras.

Agnes förklarar att de höga bötesbeloppen upp till högst 4 % av omsättningen eller 20 000 000 EUR står inskrivna i lagen. Detta är alltså de bötesbelopp myndigheterna kan besluta om. 

- Tanken är absolut att böter ska dömas ut, men exakt storlek kan variera från fall till fall beroende på en rad omständigheter. Vår bedömning är att de högsta bötesnivåerna framförallt bör bli aktuella för företag som inte vidtagit åtgärder för att följa lagen och t.ex. medvetet struntat i att göra det som följer av lagstiftningen. 

Men vem är det då som bedömer och sköter granskningen? I Sverige är det Datainspektionen som är tillsynsmyndighet. En gemensam dataskyddsstyrelse ska bistå med vägledning kring nivåerna för böterna.

Böter är en sak, men det har även talats en del om skadestånd. Finns det några maxsummor för dessa? Och vem kommer att kunna utkräva skadestånd för brister i dataskyddet? Är det underleverantörer, företagskunder, till och med privatkonsumenter?

- Ja, varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Så i första hand alla individer, privata konsumenter, men även registrerade kontaktpersoner på företag (som vid B2B-försäljning) eller medborgare. I praktiken kan det även bli aktuellt med skadestånd som krävs mellan företag som utbytt personuppgifter mellan varandra. Det finns inga maxsummor för skadestånden, det beror på vilken skada som individen lidit.

De tre viktigaste sakerna att vara införstådd med

Vi frågar Agnes vad hon skulle välja om hon var tvungen att välja tre saker som är de viktigaste att vara införstådd med och följa i sitt dataskyddsarbete. Hon poängterar att det är en svår fråga men generellt sett skulle hon säga följande:

  • Varje behandling behöver stöd i lagen, d.v.s. ha en laglig grund. Det innebär att ni alltid måste göra en bedömning om t.ex. ett visst register är lagligt.

  • Lagen kräver att ett stort antal juridiska dokument finns på plats och är uppdaterade och framförallt anpassade till situationen, t.ex. information till registrerade och avtal med alla ni delar personuppgifter.

  • Ni behöver ha ett stort antal rutiner på plats för att kunna följa lagen, t.ex. någon måste föra en registerförteckning, så snart en upphandling görs av ett IT-system måste olika aspekter tas hänsyn till.

Ett helt ekosystem med lösningar som hjälper dig med Dataskyddsfrågor - Hur långt har du kommit i ditt arbete?

Många vet inte hur de ska börja med sitt dataskyddsarbete och vad de ska fokusera på. Lagstiftningen är komplex och tar tid att sätta sig in i. Ibland saknas överblicken för den egna hantering av data och hur det är spritt över organisationen. Dessutom är den allmänna kunskapen om dataskydd oftast låg bland medarbetarna. Allt detta kan våra smarta lösningar hjälpa dig med.

Vi har verktyg som fungerar likt en nuläges- och GAP-analys där hela ditt dataskyddsarbete utvärderas. Analysen pekar ut dina förbättringsområden och ger dig åtgärdsförslag författade av juridiska experter. Vår produkt Draftit Dataskydd hjälper dig sedan att förstå lagen och hur du ska gå tillväga rent praktiskt med ditt dataskyddsarbete.

Med vår e-learning-produkt vidareutbildar och kvalitetssäkrar du dina och medarbetarnas kunskaper inom dataskyddsfrågor, så att alla ligger på rätt nivå. Den fjärde delen i vårt ekosystem är produkten Förteckning – ett verktyg där du skapar en detaljerad registerförteckning. På så vis får du en tydlig överblick av hur, och av vem som data hanteras inom din organisation.

Läs mer om våra Dataskydds-lösningar