PUL 2.0: SÅ PÅVERKAS DU AV EU:S NYA DATASKYDDSFÖRORDNING


Wistrand Advokatbyrå 2016-04-15


I december 2015 träffade EU:s lagstiftande organ en politisk överenskommelse om innehållet i den nya dataskyddsförordningen som förväntas börja gälla under 2018. Förslaget innebär kraftigt ökade sanktioner för de som inte tar reglerna på allvar samt kommer att få stor betydelse för marknadsföring framöver – både inom och utanför EU.

EU:S FÖRSTA FÖRSLAG till dataskyddsförordning kom 2012 och följdes av omfattande diskussioner. Nu har man nått en politisk överenskommelse, som förväntas beslutas formellt under sommaren 2016.
Därefter följer en tvåårig övergångsperiod innan förordningen börjar gälla. Marknadsrättsexperterna Christel Rockström och Erik Ullberg från Wistrand Advokatbyrå reder här ut några av konsekvenserna.

GÄLLER INOM OCH UTANFÖR EU
Den nya dataskyddsförordningen kommer att gälla på samma sätt i samtliga EU:s medlemsstater, vilket innebär att de särregleringar som nu finns i de nationella lagarna – som den svenska PUL – kommer att försvinna.
Förordningen gäller för alla företag och organisationer, oavsett om de är etablerade inom eller utanför EU. Det relevanta är om de har verksamhet riktad mot EU. Alltså måste exempelvis företag i USA som verkar mot EU i högre grad beakta EU:s dataskyddsregler.

■ ÖKAT SKYDD FÖR INDIVIDER
I vissa avseenden går Dataskyddsförordningen längre än vad PUL gör. Förordningen är mer detaljerad i kraven på samtycke och ställer högre krav på den information som ska lämnas till de registrerade.
Det klargörs också vad som krävs för att ett samtycke ska anses ha lämnats frivilligt.
Det kan till exempel bli svårt att kräva samtycke till viss behandling som villkor för deltagande i en marknadsföringskampanj. Vad gäller barn är utgångspunkten att målsmans godkännande krävs om den registrerade är under 16 år.
En medlemsstat får sänka denna gräns till lägst 13 år.

Rättigheterna för de registrerade blir också tydligare framöver. Det ska bli lättare att få sina personuppgifter raderade, det vill säga den omtalade principen ”rätten till att bli glömd/ raderad” lagstadgas.
Registrerade kan även begära att få sina personuppgifter utlämnade och till och med överförda till en annan personuppgiftsansvarig (dataportabilitet).
Dessutom är utgångspunkten att man som individ ska slippa så kallad profilering, och tillåtligheten av en sådan behandling kommer att kräva uttryckligt samtycke.

UTÖKADE SKYLDIGHETER FÖR BEHANDLARE
Ansvaret för den som hanterar personuppgifter ökar samtidigt som de flesta av dagens krav finns kvar. Själva behandlingen ska dokumenteras noga och man ska kunna styrka att reglerna följs.
I princip blir det obligatoriskt att upprätta en personuppgiftspolicy.
System som behandlar personuppgifter ska utformas så att dataskydd integreras i tekniken redan från början, även kallat privacy by design.

För myndigheter och företag vars kärnverksamhet bygger på systematisk databehandling i större omfattning, eller som hanterar en större mängd känslig data, blir det obligatoriskt att utse ett så kallat dataskyddsombud.
Ombudet ska vara en fysisk person som bland annat har ledningens ansvar att övervaka att förordningen efterlevs. Vidare införs en skyldighet att rapportera dataintrång till Datainspektionen och i vissa fall även till enskilda individer.

Om en personuppgiftsbehandling kan medföra risker för enskildas fri- och rättigheter är den personuppgiftsansvarige skyldig att kontakta Datainspektionen och genomföra en s.k. konsekvensanalys innan behandlingen påbörjas.

SKÄRPTA PÅFÖLJDER
I Sverige är det med största sannolikhet Datainspektionen som även framöver kommer att ansvara för tillsyn samt utfärda sanktioner. Sanktionerna kommer att bestå av skriftlig varning, återkommande tillsyn av verksamheten och skadestånd eller böter.
Brott mot förordningen kan leda till bötesbelopp på upp till 20 miljoner euro, eller upp till fyra procent av verksamhetens globala årsomsättning (beroende på vad som är högst).

INTERNA ÅTGÄRDER KRÄVS
Förordningen är ännu inte formellt beslutad och mer detaljerade riktlinjer kommer att utarbetas under övergångsperioden. Även om det återstår drygt två år tills reglerna träder i kraft finns det anledning att redan nu att se över sitt behov av anpassning.

De åtgärder som behöver vidtas berör inte bara ledningen utan organisationen i stort. Policydokument behöver utarbetas och implementeras, samt olika avdelningar såsom IT-avdelningar, HR-avdelningar och marknadsavdelningar behöver samordnas.

Några frågor som kan vara bra att ställa sig är följande:
›› Vilka personuppgifter hanteras idag och med vilket lagstöd behandlas de?
›› Vilka avtal rörande personuppgiftsbehandling finns?
›› Finns det ändamålsenliga rutiner för att säkerställa att behandling och rapportering av t.ex. dataintrång kan ske enligt kraven?
›› Finns det riktlinjer eller policys och behöver de i så fall uppdateras?
›› Privacy by design/right to be forgotten: är system och procedurer anpassade för att säkerställa att kraven uppfylls?
›› Är organisationen skyldig att utse ett dataskyddsombud?

Wistrand är en av Sveriges största advokatbyråer med närmare 200 medarbetare på kontoren i Stockholm och Göteborg. Sedan 1915 har vi levererat affärsjuridisk rådgivning av högsta kvalitet till privata och offentliga aktörer i svenskt och internationellt näringsliv.