Simovits

Dataskyddsförordningen inom EU nu antagen– Vad innebär detta för hur man ska hantera personuppgifter?

Vad handlar detta om?

EU (kommissionen, Europaparlamentet och Europeiska unionens råd) enades den 15 december 2015 om ett förslag till en ny EU-förordning (GDPR) som syftar till att modernisera dataskyddsdirektiv från 1995 till en mer enhetlig tillämpning inom EU, och förordningen är nu antagen [1]. I överenskommelsen ingick även ett direktiv som reglerar hur polis och annan brottsbekämpande myndighet får hantera personuppgifter. Dataskyddsförordningen [2] är alltså en EU-förordning som gäller som svensk lag och kommer att ersätta den svenska personuppgiftslagen. Lagen som personuppgiftsansvariga och andra måste följa kommer istället rymmas inom EU-förordningen, som träder i kraft 2018.

Varför ändras lagen?

Lagstiftningen ser idag olika ut i olika länder, och vi i Sverige har personuppgiftslagen PUL. Ändringen av lagstiftningen innebär att skyddet stärks för enskilda individer, då de får större kontroll av sina personuppgifter. Dessutom underlättar gemensam lagstiftning för företag som verkar i flera länder eftersom de då bara behöver förhålla sig till ett regelverk, när det gäller exempelvis lagring av kunddata.

Vilka anpassningar av Dataskyddsförordningen kommer att göras på nationell nivå?

Vissa nationella anpassningar kommer att ske som exempelvis rätten att överklaga tillsynsmyndighet, egna krav och undantag i vissa frågor. Regeringen har tillsatt en utredning för att undersöka hur den centrala svenska lagstiftningen bäst anpassas till den nya förordningen [3]. Exempelvis ska utredningen analysera för och nackdelar med att justera åldersgränsen för barn (16 år enligt Dataskyddsförordningen) att inlämna samtycke till att deras personuppgifter behandlas av sociala nätverk. Anpassningen syftar till en balans mellan skyddet av den personliga integriteten och näringslivets och myndigheters behov att kunna behandla personuppgifter.

Vilka övergripande förändringar innebär detta för behandlingen av personuppgifter?

Vad innebär lagen för företag som arbetar med kunddata, och vilka konkreta åtgärder kan göras redan nu?

Kraven blir hårdare, och mer ansvar läggs på företag och myndigheter. Om företag bryter mot reglerna kommer det få kännbara ekonomiska konsekvenser, upp till 20 Miljoner Euro (eller 4 % av företagets globala omsättning, samt skadestånd till drabbade. Resultatet av tuffare konsekvenser för företag är således fler rättsliga processer och överklaganden. Dessutom kommer det finnas rapporteringsskyldighet om dataläckor. Även om 2018 kan kännas långt borta är det hög tid att förbereda sig organisatoriskt, exempelvis genom att utgå ifrån den checklista som tagits fram av Datainspektionen [4]. Exempel på förberedelse omfattar att :

[1] http://europa.eu/rapid/press-release_IP-15-6321_sv.htm

[2] http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CONSIL:ST_5419_20…

[3] http://www.regeringen.se/pressmeddelanden/2016/02/eus-nya-dataskyddsforo…

[4] http://www.datainspektionen.se/Documents/vagledning-forberedelser-pua.pdf