Ny EU-förordning stärker skyddet av personuppgifter

Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Företag som bryter mot EU:s nya regler om behandling av personuppgifter riskerar böter på upp till fyra procent av sin globala omsättning. För att hinna anpassa sig efter de nya reglerna och undvika dyra omställningskostnader bör företag som hanterar personuppgifter redan nu börja analysera hur just de påverkas av den nya förordningen.

PuL och Dataskyddsförordningen är inte helt olika och många begrepp och principer återanvänds i den nya förordningen och de grundläggande kraven på att få behandla personuppgifter kommer i stora delar att behållas. På vissa områden kommer det dock ställas högre krav, och det för många viktiga undantaget för ostrukturerad information, kallad missbruksregeln, försvinner.

Dataintrång
Om ett företag blir utsatta för ett dataintrång måste detta anmälas till tillsynsmyndigheten (Datainspektionen) inom 72 timmar från dess att det upptäcktes. Datainspektionen kommer att upprätta en offentlig lista över alla anmälningar som gjorts och av vem. Det är förhållandevis korta tidsfrister att anmäla händelser till Datainspektionen på så det är viktigt att redan innan ett intrång ha tillräckliga rutiner på plats för att ni ska kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Privacy by design
I den nya förordningen ställs det numera ett uttryckligt krav på ett inbyggt dataskydd, med principen om att inte samla in mer information än vad som behövs, och att inte spara informationen längre än nödvändigt därför ska till exempel varje personuppgift i fortsättningen innehålla information om planerad lagringstid. Företaget måste även göra en risk- och sårbarhetsanalys innan de behandlar personuppgifter. Summerat så måste företag vidta både tekniska och organisatoriska åtgärder för att säkerställa lagringsminimering och sekretess. Hur dessa system kommer att vara utformade kommer framtiden att få utvisa, men bland annat så nämns pseudonymisering som ett förslag på möjlig åtgärd i förordningen.

Missbruksregeln (Ostrukturerade personuppgifter)
Det svenska undantaget för att behandla ostrukturerade personuppgifter i löpande form text och bild kommer att tas bort i förordningen. Kärnområdet för undantaget rör behandling av personuppgifter som på ett ostrukturerat sätt har uppkommit i en digital miljö. Typexempel är ordbehandlingsprogram, kommunikation via e-post eller via publikation på internet. Sådana uppgifter är indexerade och därmed sökbara, men omfattas för närvarande inte av PuL. Ostrukturerade personuppgifter ska i fortsättningen hanteras på samma sätt som övriga uppgifter. Varje gång som man uppger personuppgifter i en digital miljö, oavsett om det är i ett mejl, löpande text eller ett digitalt foto, så bör man därför ha i åtanke om det finns laglig grund för behandlingen. Har man inhämtat ett samtycke eller finns det någon annan grund för behandlingen? Allt ostrukturerat material genomsökas efter personuppgifter och dessa uppgifter ska bedömas och skyddas precis som andra uppgifter. Detta bör vara ett omfattande och tidskrävande arbete för många företag, och det återstår att se vilka tekniska lösningar som kommer att vara dominerande för genomförandet.

Den registrerades rättigheter
Den som registrerar sina personuppgifter kommer i och med införandet av den nya förordningen få sina rättigheter stärkta. I den nya Dataskyddsförordningen ges de som är registrerade i en databas rätten att ha kontroll över vilka uppgifter som behandlas och att kunna invända mot den behandlingen. En begäran från en registerad om att få ut vilka uppgifter som behandlas om dem ska vara kostnadsfri. Vidare ska informationen, om den begärts elektroniskt, även lämnas elektroniskt och den registrerade ska även få information om hur länge personuppgifterna kommer att hållas lagrade.

Det finns redan idag en rätt för den registrerade att bli glömd men denna rätt förtydligas i den nya förordningen. Företaget kommer att behöva se över sina rutiner kring hanteringen av en begäran om att få sina uppgifter raderade. Har företaget ett IT-system som hjälper er hitta rätt uppgifter och radera dessa om en begäran skulle komma in?

Informationskrav och samtycke
Den nya förordningen medför ett något ökat krav på explicit samtycke, och även ökade krav på information som ska lämnas till de registrerade. Man ska vid förordningens införande lämna information om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till Datainspektionen om den registrerade anser att de registrerade personuppgifterna har hanterats felaktigt. Det krävs även att informationen ska lämnas kortfattat på ett enkelt och lättbegripligt språk.

Precis som i nuvarande reglering så ska samtycke ska lämnas i form av en frivillig, specifik och otvetydig viljeyttring, men specificitetskravet har förtydligats något. Om en behandling har flera separata syften kommer det att krävas flera explicita samtycken. Förutsatt att samtycket inte har flera grunder och att man har lämnat informationen ovan, är redan inhämtade samtycken fortsatt giltiga.

Böter
Enligt Dataskyddsförordningens regler ges Datainspektionen möjlighet att döma ut en administrativ sanktionsavgift på upp till 20 miljoner Euro eller fyra procent av företagets globala omsättning. Detta innebär en kraftig skärpning av reglerna som fanns i PuL.

Tips
Se över nuvarande IT-system. Uppfyller de kraven på uppgiftsminimering och säkerhet?Se över företagets rutiner rörande personuppgifter. Hur samlas uppgifter in?

Är samtyckesblanketter och informationstexter uppdaterade?

Starta arbetet med att skapa rutiner för hantering av ostrukturerade personuppgifter och genomgång av genomsökning av historisk data efter personuppgifter. Var noga med att kontrollera om alla dessa uppgifter har någon laglig grund.

Viktor Möller, Göteborg, 2017-04-03