Dataskyddsförordningen

Från och med 25 maj 2018 gäller Dataskyddsförordningen GDPR. Samtliga EU-länder får därmed en gemensam lagstiftning rörande hantering av personuppgifter inom de egna länderna men också över landsgränserna. Här finner du information samt information från vår husadvokat Mattias Lindberg från Bird & Bird. Vill du ställa din fråga, vänligen kontakta Kontakta!

Dataskyddsförordningen, allmänna dataskyddsförordningen, DSF eller GDPR efter engelskans General Data Protection Regulation, är en europeisk förordning med syftet att stärka och harmonisera skyddet för levande, fysiska personer inom Europeiska unionen vid hantering av personuppgifter. Förordningen antogs den 27 april 2016 och började gälla fullt ut den 25 maj 2018. Den ersatte då dataskyddsdirektivet (95/46/EG) från 1995.[1]

Den fullständiga benämningen är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).[1]

Till skillnad från ett EU-direktiv kräver en EU-förordning inte att nationella lagar skapas, utan den gäller direkt i alla medlemsstater och ersätter tidigare nationella bestämmelser. Varje enskild medlemsstat har dock rätten att komplettera förordningen med nationella regler i viss omfattning, till exempel gällande hur ett myndighetsbeslut kan överklagas.[2]

I Sverige ersatte dataskyddsförordningen den äldre personuppgiftslagen (PUL) och den kompletteras i Sverige av den nya lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.[3][4]

Här finner du Dataskyddsförordningen...

Vill du ställa generella frågor om Dataskyddsförordningen är du välkommen att kontakta Tina Wahlroth på Kontakta, så hjälper jag dig. Vill du istället på egen bekostnad rådgöra individuellt med Kontaktas advokat finner du kontaktuppgifter här

Mattias Lindberg, Bird & Bird
www.twobirds.com/sv 
Mattias.Lindberg@twobirds.com
Mobil +46 708 13 05 18


Här finner du några frågor och svar från Mattias Lindberg. Fler frågor finns om du loggar in:

Vilken påverkan kommer den nya dataskyddsförordningen att få på Kontaktas medlemmar?

Den nya dataskyddsförordningen kommer att börja tillämpas den 25 maj 2018 och kommer få mycket stor påverkan på Kontaktas medlemmar. Den nya dataskyddsförordningen kommer bland annat att medföra krav på ökad dokumentation. Varje medlem behöver därför förbereda kommande implementeringar av de förändringar som den nya dataskyddsförordningen ger upphov till. Dessa förändringar i medlemmens verksamhet kan bli omfattande och de nya kraven kan komma att medföra stora förändringar. En anpassning till dataskyddsförordningen kommer mot denna bakgrund kräva att varje medlem så snart som möjligt inleder sitt kvalitetsarbete med att se över medlemmens interna styrning och medlemmens riktlinjer för hur medlemmen hanterar personuppgifter. Anledningen till att arbetet bör inledas så snart som praktiskt möjligt är att arbetet ska kunna bedrivas på ett så kostnadseffektivt sätt som möjligt.

Vad är syftet med den nya dataskyddsförordningen?

Syftet med den nya dataskyddsförordningen är att enskilda ska få större kontroll över sina personuppgifter. Ett annat syfte är att tydligare ange de skyldigheter som finns för de som behandlar personuppgifter men även att tydliggöra vilka rättigheter som enskilda har. En konsekvens av detta är att den nya dataskyddsförordningen ställer ökade krav på dokumentation och informationslämnande. I den nya dataskyddsförordningen finns t.ex. som huvudregel ett allmänt krav på att den som behandlar personuppgifter ska införa en lämplig dataskyddspolicy.

Vidare innehåller den nya dataskyddsförordningen bestämmelser som har till effekt att den personuppgiftsansvarige ska kunna visa att dataskyddsförordningen efterlevs. Ytterligare ett syfte är att skapa enhetliga dataskyddsregler inom hela EU. Företag som har verksamhet i flera EU-länder kan med den nya dataskyddsförordningen därmed förhålla sig till ett regelverk (även om den nya dataskyddsförordningen behöver kompletteras av vissa nationella bestämmelser av olika slag). Mot denna bakgrund bör Kontaktas medlemmar bland annat göra en analys av medlemmens interna styrning och medlemmens riktlinjer för hur medlemmen hanterar personuppgifter.

Vad menas med begreppet ”Privacy by Design” och varför är just det viktigt för Kontaktas medlemmar?

Med ”Privacy by Design” menas inbyggd integritet och att integritetsfrågorna ska påverka systemets hela livscykel. Inbyggd integritet innebär således att ett effektivt integritetsskydd byggs in i IT-systemet och att det går att utnyttja dessa mekanismer under systemets hela livscykel.

Tidigare fanns ingen uttrycklig reglering om, eller krav på, ”Privacy by Design” även om Datainspektionen uppmuntrade att ett effektivt integritetsskydd skulle byggas in i system redan från början. I den nya dataskyddsförordningen finns det emellertid krav om ”Privacy by Design”. Från 25 maj 2018 krävs det att system (precis som organisation, rutiner, instruktioner och policies) anpassas utifrån de nya krav som kommer att gälla i den nya dataskyddsförordningen. Mot bakgrund av att Dataskyddsförordningen innehåller stora förändringar och vissa helt nya bestämmelser kommer Dataskyddsförordningen att på ett ingripande sätt påverka medlemmens verksamhet. För att effekten av dessa förändringar ska kunna hanteras på ett så kostnadseffektivt som möjligt behöver Kontaktas medlemmar ha genomfört detta kvalitetsarbete per 25 maj 2018 och utvärdera löpande.

Uppdragsgivare kräver inspelning av alla samtal, men det bryter mot gällande lag. Vem straffas?

Fråga: Vi har en uppdragsgivare som kräver att vi ska spela in alla samtal, men vi anser att det skulle strida mot reglerna i Dataskyddsförordningen. Hur fördelas ansvaret mellan vår uppdragsgivare och oss som uppdragstagare om Datainspektionen vid en granskning anser att inspelningen strider mot reglerna i Dataskyddsförordningen? Hur fördelas eventuella sanktioner?

Svar: Kontaktas medlemmar ska alltid följa reglerna i Dataskyddsförordningen, oavsett om behandlingen sker för egen eller uppdragsgivares räkning. Dataskyddsförordningen medför ett utökat ansvar för personuppgiftsbiträden, vilket innebär att personuppgiftsbiträden riskerar att drabbas av sanktioner på samma sätt som personuppgiftsansvariga om skyldigheterna i Dataskyddsförordningen inte efterlevs.

Om Datainspektionen, vid en granskning, skulle komma fram till att personuppgiftsbehandlingen (i det här fallet inspelningen av samtalen) bryter mot reglerna i Dataskyddsförordningen och anser att överträdelsen är tillräckligt allvarlig kommer Datainspektionen, utefter omständigheterna i det enskilda fallet, påföra administrativa sanktionsavgifter på alla parter som Datainspektionen anser bär ansvar för den felaktiga behandlingen. Något förenklat kan man säga att ansvaret fördelas proportionellt till parternas inblandning i det inträffade.

Innan ni åtar er uppdraget (som innebär otillåten inspelning), alternativt accepterar ändringen i ett befintligt uppdrag, ska ni påpeka att ni (tillsammans med uppdragsgivaren) bryter, alternativt riskerar att bryta, mot reglerna i Dataskyddsförordningen till uppdragsgivare, för att på så sätt försöka få dem att ändra uppfattning i frågan.

Om uppdragsgivaren inte frånfaller sitt krav bör ni överväga om ni ska åta er uppdraget överhuvudtaget. För det fall ni trots allt väljer att åta er uppdraget bör ni kräva att ha en reglering i ansvarsklausulen i personuppgiftsbiträdesavtalet, i vilken ni stadgar att uppdragsgivaren ska hålla er skadeslösa utan begränsningar om ni påförs en administrativ sanktionsavgift eller lider annan skada med anledning av uppdragsgivarens otillåtna krav (i det här fallet inspelningen av samtal).

2020-03-05