Ditt företag kan få 200 miljoner kr i böter för att inte följa nya PUL

Fick jag din uppmärksamhet? Det kan man faktiskt säga är syftet med både rubriken och den EU-förordning (EU-lag) som förkortas GDPR och som träder i kraft den 25 maj 2018, nämligen att väcka intresse för personuppgiftsfrågor. En av de största förändringarna är just de höga böter man kan drabbas av om man bryter mot den nya lagen, närmare bestämt det som är högst av 4 % av företagets globala omsättning eller 20 miljoner euro.

Lagen gäller behandling av personuppgifter, vilket innebär att den är relevant för så gott som alla företag eftersom så gott som alla behandlar personuppgifter. Vi kan börja med vad som är personuppgifter, nämligen alla uppgifter som – direkt eller indirekt (t.ex. genom samkörning med andra uppgifter som man har tillgång till eller om man förfogar över lagliga medel som rimligen kan komma att användas och som gör det möjligt att koppla uppgifterna till en person) – kan kopplas till en levande fysisk person. Det kan bland annat vara fråga om namn, telefonnummer, e-postadress, omdömen, bankuppgifter, uppgift om medlemskap i föreningar, biometriska uppgifter (t.ex. fingeravtryck), fotografier eller IP-adresser.

När det sedan gäller vad som är behandling så är det kort sagt all kontakt med personuppgifter, t.ex. lagring, ändring, läsning, överföring eller radering.

Personuppgifter behandlas ofta i register över exempelvis anställda, deras anhöriga, kunder och kontaktpersoner hos leverantörer samt i innehåll i e-post och på webbplatser. Om det är så att man redan idag följer PUL, den praxis som har utvecklats på området och de rekommendationer och uttalanden som Datainspektionen har gjort, så har man en väldigt bra utgångsposition. Det är dock många som inte riktigt har koll på sin hantering av personuppgifter. Överträdelser kan t.ex. ske genom att behandla personuppgifter utan laglig grund (exempelvis giltigt samtycke eller en s.k. intresseavvägning) eller att inte lämna korrekt information om behandlingen. Frågan som man får ställa sig är om man framöver har råd att inte ha koll.

Men om det nu är så att man redan har ganska bra koll på sin behandling av personuppgifter, så finns det ändå en del nyheter som man behöver ta hänsyn till. Här följer ett urval:

Hårdare krav på samtycke. Det blir strängare krav på vad som anses vara ett giltigt samtycke för att få behandla personuppgifter (samtycke är dock inte den enda grunden för att få behandla personuppgifter). Förändringen medför blanda annat att man kan behöva fundera på om det går bra att dela upp samtycket att avse olika delar självständiga från varandra istället för att ha allt inbakat i allmänna villkor eller en policy för personuppgiftsbehandling.

Ingen missbruksregel. I nuvarande PUL så har vi i Sverige en bestämmelse som i korthet innebär att om man behandlar personuppgifter som inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av dem, så har man i princip fria tyglar så länge man inte genom behandlingen kränker den registrerades personliga integritet. Det här undantaget träffar typiskt sett behandling av personuppgifter som sker i innehåll i e-post eller på webbplatser. I och med undantaget alltså försvinner så måste man alltså framöver bland annat ha en rättslig grund för behandlingen och lämna förhållandevis omfattade information om den.

Självständigt ansvar för personuppgiftsbiträden. Om du är ansvarig för ett kundregister som du lagrar hos en molntjänstleverantör, så är leverantören ditt personuppgiftsbiträde. Det innebär bland annat att ni måste ha ett skriftligt avtal som reglerar många frågor rörande personuppgiftsbehandlingen. För närvarande så är personuppgiftsbiträdet endast ansvarig gentemot personuppgiftsbiträdet, men i och med den nya lagen så kan personuppgiftsbiträdet hållas direkt ansvarig gentemot Datainspektionen och registrerade individer.

Krav på inbyggd säkerhet. Den nya lagen ställer hårdare krav på att tekniska och organisatoriska säkerhetsåtgärder införs för att skydda personuppgifterna. Vad som krävs varierar beroende på bland annat typ av verksamhet, tillgänglig teknik, kostnad och vad det är för typ av personuppgifter som behandlas. Det finns dock anledning att se över sina IT-system så att man åtminstone kan säkerställa att det finns skydd mot såväl extern som intern obehörig åtkomst samt att det går att följa upp sådan åtkomst.

Vi på Advokatfirman Glimstedt hjälper er så klart gärna med att bena ut de legala frågorna rörande personuppgifter som finns i er verksamhet. Vi kan även löpande agera som ert dataskyddsombud, om det är så att er verksamhet kräver att ni ska ha ett sådant eller om ni ändå vill ha det. Men eftersom även de tekniska frågorna kan vara nog så komplicerade (särskilt med tanke på de nya kraven på säkerhet), så erbjuder vi även ett Workshop-koncept tillsammans med en samarbetspartner med teknisk spetskompetens. På så sätt får ni hjälp med både de juridiska och tekniska utmaningar som följer med den nya lagen.

Ett år kan framstå som en lång tid, men framförallt tekniska förändringar i era IT-system kan ta tid att implementera. Det är därför bra att komma igång med processen redan nu.

Johan Nyberg, advokat Glimstedt Linköping