Personuppgiftslagen, PUL, bygger på ett EU-direktiv från 1995. Ett direktiv kan implementeras på olika sätt i olika länder och det kan vara tungt för företagen att hålla reda på alla länders olika tillämpningar. Därför kommer man nu att införa en förordning, som innebär en mer sammanhållen lagstiftning.
– Men slutprodukten öppnar ändå upp för att länderna inom vissa områden antar nationell lagstiftning. Arbetsrätten är ett sådant område. Och i Sverige tittar en utredning just nu på hur den nya dataskyddsförordningen förhåller sig till våra nationella lagar som patientdatalagen och kameraövervakningslagen, säger Johan Sundberg.
Men det finns också ett annat skäl till att dataskyddsförordningen (general data protection regulation, GDPR) kommit till och det är att vi sedan 1995 har haft en enorm teknisk utveckling, bland annat vad gäller sociala medier och internetanvändning.
– Personuppgifter har nu ett större värde för företagen och kan till och med vara en handelsvara. Man ska komma ihåg att de här reglerna inte är till för att hjälpa företag och organisationer utan för att skydda individer, säger Johan Sundberg.
Han tror att det är många som inte har brytt sig så mycket om PUL, eftersom det knappast har funnits några sanktioner. Det har i några få fall handlat om skadestånd till individer i storleksordningen 5 000–10 000 kronor. Åtal för brott mot PUL har bara väckts i något enstaka fall.
– Med den nya förordningen kommer Datainspektionen att kunna utfärda administrativa sanktionsavgifter på upp till fyra procent av en global koncerns omsättning, vilket kan innebära sanktionsbelopp på flera miljarder kronor för större svenska företag.
Johan Sundberg hänvisar också till en undersökning från Handelshögskolan i Stockholm som visar att konsumenter reagerar nästan lika starkt på att företag säljer kundinformation utan att informera sina kunder som de de gör om företag inte kontrollerar om underleverantörer i utvecklingsländer använder sig av barnarbete.
– Och det är svårare att återställa ett förlorat renommé när det gäller bristande dataskydd.
Vad gör då svenska företag för fel?
– Det vanligaste är att inte informera om den behandling av personuppgifter som sker. Många gånger saknar man också laglig grund för behandlingen. Och sedan sparar man uppgifterna för länge, eftersom man har dåliga gallringsrutiner.
Det är en rad saker som skiljer den nya förordningen från PUL och som ställer högre krav på företagen. Ett exempel är att Sverige har haft en egen regel, den så kallade missbruksregeln, som tillåtit ostrukturerad behandling av personuppgifter, i till exempel e-post och worddokument, så länge man inte kränker någon. Denna regel försvinner.
– Nu måste man alltså se över sina rutiner, hitta en laglig grund för behandlingen och kanske lägga in information om behandlingen av personuppgifter i sina mejl. Vi har redan börjat med det på DLA Piper, säger Johan Sundberg.
Och han uppmanar hr-avdelningarna att tänka sig för hur man kommunicerar i personalärenden. Som exempel tar han en chef som via mejl klagat på Kalle som är mycket borta för vård av sjukt barn. Ett sådant mejl kommer Kalle att kunna begära ut och det kan då även användas som bevismaterial i tvist med arbetsgivaren. •
Johans 14 tips för förberedelse
1 Prioritera förordningen på ledningsnivå.
De som inte följer de nya reglerna riskerar sanktionsavgifter på upp till 4 procent av omsättningen. Det är därför viktigt att förordningen prioriteras ända upp på ledningsnivå i företaget.
2 Kartlägg personuppgiftsbehandlingen.
För att följa förordningen är det nödvändigt att ha kontroll över den personuppgiftsbehandling som sker i verksamheten – vilka uppgifter har ni och varför, hur länge sparas de,
etcetera?
3 Gör en laglighetsanalys.
Sedan är det dags att göra en laglighetsanalys. Har ni rätt att behandla den här informationen, sparar ni den för länge, ger ni tillräcklig information till de personer som berörs, behövs samtycke?
4 Utse ett personuppgiftsombud.
Adressera dataskyddsfrågor internt – utse ett personuppgiftsombud eller en annan person som arbetar med dessa frågor. Har ni inte interna resurser överväg att anlita extern hjälp.
5 Registerutdrag gäller även e-post.
Missbruksregeln i PUL försvinner, vilket innebär att personuppgifter i till exempel e-post och worddokument kommer att omfattas av förordningens krav, som rätten till registerutdrag.
6 Rätt att bli bortglömd.
Privatpersoner kan kräva att bli borttagna från register och kunddatabaser, till exempel om ett samtycke tas tillbaka och om det inte finns någon annan legal grund för uppgifterna.
7 Gör konsekvensbedömningar redan nu.
Det blir nu krav på att införa konsekvensbedömningar för vissa typer av personuppgiftsbehandlingar som sannolikt innebär en hög integritetsrisk.
Ha en rutin för att göra sådan även i fall där det strikt sett inte behövs.
8 Anmälningsskyldighet.
Vissa så kallade personuppgiftsincidenter måste anmälas till Datainspektionen inom 72 timmar efter att de inträffat. Rutiner måste upprättas för att internt hantera sådana situationer.
9 Upprätta förteckning av personuppgiftsbehandlingar.
Personuppgiftsbehandlingar måste inte längre anmälas till Datainspektionen, men den personuppgiftsansvarige måste föra en intern förteckning med mer långtgående krav.
10 Rätt till information.
Registrerades rätt att erhålla information utvidgas väsentligt samtidigt som informationen ska vara koncis, klar, tydlig, begriplig och lätt tillgänglig. Det blir en utmaning för många företag.
11 Hårdare krav på samtycke till behandling.
Ett samtycke är till exempel ogiltigt om en tjänsteleverantör ställer krav på samtycke till behandlingar som inte är nödvändiga för att genomföra tjänsten.
12 Upprätta dataskyddspolicyer.
Den personuppgiftsansvarige ska dokumentera och kunna visa att förordningen följs. En del i detta är upprättande av och antagande av dataskyddspolicyer.
13 Se över i vilka fall er behandling i dag stödjer sig på missbruksregeln.
Kartlägg och bedöm om det finns rättslig grund enligt förordningen att behandla personuppgifter som till exempel samlats in via webbsidor för ansökningar.
14 Se över rutiner för kommunikation mellan hr och berörda chefer om medarbetare. Den utökade rätten till registerutdrag innebär att exempelvis personuppgifter i e-post omfattas av rätten till registerutdrag.