Månadens medlemsfråga

Vi får många frågor om kommande Dataskyddsförordning från EU, som träder i kraft i maj 2018. Vår husadvokat Mattias Lindberg från Affärsadvokaterna håller till hösten en utbildning kring vad du behöver göra för att nå ända fram i utvecklingsarbetet och här är några goda råd på vägen!

FRÅGA: Hur ska vi hantera de listor med konsumentadresser som vi köper när GDPR har trätt i kraft. Har vi en laglig grund för att behandla personuppgifterna?


SVAR: Det är inte helt enkelt att lämna ett generellt svar, utan den personuppgiftsansvarige måste avgöra om och vilken laglig grund som föreligger från fall till fall. I de flesta fall kommer sannolikt den lagliga grunden för behandling av personuppgifter i listor med kontaktuppgifter vara en så kallad intresseavvägning. För att behandlingen ska vara tillåten krävs det då att den personuppgiftsansvariges intresse att behandla personuppgifterna är större än den registrerades intresse att personuppgifterna inte ska behandlas. Om den personuppgiftsansvariges intresse är starkare är behandlingen tillåten. Att behandla personuppgifter efter en intresseavvägning är däremot inte tillåtet för offentliga myndigheter.


Ytterligare en fråga som aktualiseras när en näringsidkare köper kontaktuppgifter är frågan om hur och när näringsidkaren, i sin roll som personuppgiftsansvarig, ska förse den registrerade med information om sig själv och behandlingen av personuppgifterna.


Vilken påverkan kommer den nya dataskyddsförordningen att få på Kontaktas medlemmar? 

Den nya dataskyddsförordningen kommer att börja tillämpas den 25 maj 2018 och kommer få mycket stor påverkan på Kontaktas medlemmar. Den nya dataskyddsförordningen kommer bland annat att medföra krav på ökad dokumentation. Varje medlem behöver därför förbereda kommande implementeringar av de förändringar som den nya dataskyddsförordningen ger upphov till. Dessa förändringar i medlemmens verksamhet kan bli omfattande och de nya kraven kan komma att medföra stora förändringar. En anpassning till dataskyddsförordningen kommer mot denna bakgrund kräva att varje medlem så snart som möjligt inleder sitt kvalitetsarbete med att se över medlemmens interna styrning och medlemmens riktlinjer för hur medlemmen hanterar personuppgifter. Anledningen till att arbetet bör inledas så snart som praktiskt möjligt är att arbetet ska kunna bedrivas på ett så kostnadseffektivt sätt som möjligt.


Vad är syftet med den nya dataskyddsförordningen? 

Syftet med den nya dataskyddsförordningen är att enskilda ska få större kontroll över sina personuppgifter. Ett annat syfte är att tydligare ange de skyldigheter som finns för de som behandlar personuppgifter men även att tydliggöra vilka rättigheter som enskilda har. En konsekvens av detta är att den nya dataskyddsförordningen ställer ökade krav på dokumentation och informationslämnande. I den nya dataskyddsförordningen finns t.ex. som huvudregel ett allmänt krav på att den som behandlar personuppgifter ska införa en lämplig dataskyddspolicy. Vidare innehåller den nya dataskyddsförordningen bestämmelser som har till effekt att den personuppgiftsansvarige ska kunna visa att dataskyddsförordningen efterlevs. Ytterligare ett syfte är att skapa enhetliga dataskyddsregler inom hela EU. Företag som har verksamhet i flera EU-länder kan med den nya dataskyddsförordningen därmed förhålla sig till ett regelverk (även om den nya dataskyddsförordningen behöver kompletteras av vissa nationella bestämmelser av olika slag). Mot denna bakgrund bör Kontaktas medlemmar bland annat göra en analys av medlemmens interna styrning och medlemmens riktlinjer för hur medlemmen hanterar personuppgifter.


Vad menas med begreppet ”Privacy by Design” och varför är just ”Privacy by Design” viktigt för Kontaktas medlemmar just nu? 

Med ”Privacy by Design” menas inbyggd integritet och att integritetsfrågorna ska påverka systemets hela livscykel. Inbyggd integritet innebär således att ett effektivt integritetsskydd byggs in i IT-systemet och att det går att utnyttja dessa mekanismer under systemets hela livscykel.

Idag finns ingen uttrycklig reglering om, eller krav på, ”Privacy by Design” även om Datainspektionen uppmuntrar att ett effektivt integritetsskydd byggs in i system redan från början. I den nya dataskyddsförordningen finns det emellertid krav om ”Privacy by Design”. Även om den nya dataskyddsförordningen börjar tillämpas först den 25 maj 2018 krävs det att system (precis som organisation, rutiner, instruktioner och policies) anpassas utifrån de nya krav som kommer att gälla i den nya dataskyddsförordningen. Mot bakgrund av att den nya dataskyddsförordningen innehåller stora förändringar och vissa helt nya bestämmelser kommer den nya dataskyddsförordningen att på ett ingripande sätt påverka medlemmens verksamhet. För att effekten av dessa förändringar ska kunna hanteras på ett så kostnadseffektivt som möjligt behöver Kontaktas medlemmar inleda detta kvalitetsarbete så snart som det är praktiskt möjligt.


Vilka inledande åtgärder bör en medlem vidta med anledning av de förändringar som den nya dataskyddsförordningen kommer att innebära? 

Det arbete som medlemmen måste genomföra bör ha sin utgångspunkt i redan existerande dokument och rutiner. Om medlemmen redan har existerande dokument samt ett fungerande kvalitetsarbete med väl genomarbetade åtgärder och rutiner för att säkerställa att personuppgiftslagen följs, har medlemmen en bra grund att utgå från. Under alla omständigheter bör ett projekt inledas där ledande befattningshavare bör ingå. Projektet bör i ett första steg gå igenom redan existerande dokument och rutiner. Projektet bör ha som målsättning att integreras i medlemmens övriga kvalitetsarbete och medlemmens budget bör anpassas utifrån projektets stora betydelse.



Mattias Lindberg, Affärsadvokaterna i Sverige AB

http://affarsadvokaternasverige.se/

Mattias.lindberg@affarsadvokaternasverige.se 
Mobil +46 708 13 05 18


Affärsadvokaterna är en modern advokatbyrå med inriktning på affärsjuridik som erbjuder juridiska tjänster av högsta kvalitet och med största engagemang. Affärsadvokaterna erbjuder rådgivning rörande alla typer av strategiska avtal, IT-rätt, outsourcing, samt vid integritetsskyddsfrågor, vilket innebär att de driver och är inblandade i många projekt där deras kunder förbereder sig inför implementeringen av den nya dataskyddsförordningen (GDPR). I arbetet med GDPR-projektet uppstår frågeställningar om olika delar av det nya regelverket som är återkommande i många av projekten. Affärsadvokaterna har därför samlat ihop några av dessa frågor och besvarat dem för att på så sätt underlätta implementeringsarbetet för Kontaktas medlemmar. Om du vill ha mer information kring någon av svaren, eller har en annan fråga om GDPR, är du välkommen att höra av dig till Kontakta eller Affärsadvokaterna