Månadens medlemsfråga

Vi får många frågor om kommande Dataskyddsförordning från EU, som träder i kraft i maj 2018. Vår husadvokat Mattias Lindberg från Affärsadvokaterna håller till hösten en utbildning kring vad du behöver göra för att nå ända fram i utvecklingsarbetet och här är några goda råd på vägen!

Hur ska vi hantera de listor med konsumentadresser som vi köper när GDPR har trätt i kraft. Har vi en laglig grund för att behandla personuppgifterna?

Det är inte helt enkelt att lämna ett generellt svar, utan den personuppgiftsansvarige måste avgöra om och vilken laglig grund som föreligger från fall till fall. I de flesta fall kommer sannolikt den lagliga grunden för behandling av personuppgifter i listor med kontaktuppgifter vara en så kallad intresseavvägning. För att behandlingen ska vara tillåten krävs det då att den personuppgiftsansvariges intresse att behandla personuppgifterna är större än den registrerades intresse att personuppgifterna inte ska behandlas. Om den personuppgiftsansvariges intresse är starkare är behandlingen tillåten. Att behandla personuppgifter efter en intresseavvägning är däremot inte tillåtet för offentliga myndigheter.


Ytterligare en fråga som aktualiseras när en näringsidkare köper kontaktuppgifter är frågan om hur och när näringsidkaren, i sin roll som personuppgiftsansvarig, ska förse den registrerade med information om sig själv och behandlingen av personuppgifterna.


Vad menas med kravet på dataportabilitet?

Rätten till dataportabilitet är en nyhet i GDPR. Rättigheten innebär att den registrerade har rätt att få en kopia, i ett allmänt använt maskinläsbart format, på de personuppgifter som en personuppgiftsansvarig behandlar om den registrerade. Den registrerade kan exempelvis lämna kopian till en annan personuppgiftsansvarig om den registrerade vill byta tjänsteleverantör. 


Måste vi ha personuppgiftsbiträdesavtal med alla leverantörer och underleverantörer som behandlar personuppgifter för vår räkning?

Ja, om en personuppgiftsansvarig anlitar ett biträde för behandling av personuppgifter måste ett personuppgiftsbiträdesavtal ingås med varje biträde. Personuppgiftsbiträdesavtalet ska innehålla bestämmelser om bland annat föremålet för behandlingen, behandlingens varaktighet, art och ändamål samt typen av personuppgifter och registrerade. Personuppgiftsbiträdesavalet kan antingen vara en del av ett annat avtal eller ett helt fristående avtal. Eftersom det ställs höga krav på innehållet i personuppgiftsbiträdesavtal, och i förlängningen på personuppgiftsbiträdet, så är det viktigt att använda leverantörer och underleverantörer som följer GDPR.


En del av vårt GDPR-projekt är att hantera våra personuppgiftsbiträdesrelationer. Vi har i dag tecknat personuppgiftsbiträdesavtal med våra personuppgiftsbiträden, måste vi skriva ett nytt eller kan vi jobba vidare med det gamla?

Kraven på vad personuppgiftsbiträdesavtal måste innehålla är strängare i GDPR än vad de är i personuppgiftslagen, vilket innebär att ett nytt personuppgiftsbiträdesavtal bör ingås med varje personuppgiftsbiträde. En parallell fråga som ofta uppstår är vilken part det är som ska ta initiativet till att ett nytt personuppgiftsbiträdesavtal tecknas. Svaret är att det generellt sett är det i den personuppgiftsansvariges intresse att ett nytt avtal tecknas, men att båda parterna har möjlighet att lägga fram sitt eget personuppgiftsbiträdesavtal.

 

 Vi arbetar med att ta fram en rutin för hur och när vi ska gallra de personuppgifter som vi behandlar. I samband med det uppstått en fråga om det finns någon tidsgräns för hur länge ett samtycke är giltigt, finns det?

Det finns inte någon angiven tidsgräns för ett samtyckes giltighet i GDPR. Det finns dock ett antal faktorer som kan påverka samtyckets giltighets tid. Exempelvis får personuppgifter inte behandlas längre än nödvändigt och den personuppgiftsansvarige kan ha angivit hur länge personuppgifterna ska behandlas i samband med att samtycket inhämtades. Den registrerade har även möjlighet att när som helst dra tillbaka samtycket.


Idag behandlar vi personuppgifter efter att ha fått samtycke till behandlingen. Måste vi få ett nytt samtycke nu när GDPR börjar gälla?

Personuppgiftsansvariga som behandlar personuppgifter, efter att den registrerade har lämnat samtycke i enlighet med personuppgiftslagen, behöver inte per automatik förnya alla existerande samtycken under förberedelserna inför GDPR. Samtycken är fortsatt giltiga under förutsättning att de ligger i linje med de villkor som ställts upp för att få ett giltigt samtycke enligt GDPR. Det blir därför viktigt för personuppgiftsansvariga att kontrollera på vilket sätt samtycken erhålls idag, så att detta kan jämföras med kraven i GDPR. Ett exempel på ett villkor, för att få ett giltigt samtycke enligt GDPR, är att den personuppgiftsansvarige måste kunna visa att samtycket har lämnats genom en entydigt bekräftande handling. Om sättet som det tidigare samtycket har lämnats på inte uppfyller de nya villkoren måste ett nytt samtycke inhämtas.


Vad händer om vårt tidigare samtycke inte uppfyller villkoren i GDPR?

I skiftet mellan personuppgiftslagen och GDPR har personuppgiftsansvariga möjlighet att byta laglig grund för behandlingen om den personuppgiftsansvariga konstaterar att samtycket inte kommer uppfylla de nya villkoren. Har den personuppgiftsansvariga ett kundförhållande med den registrerade kan ett ogiltigt samtycke bytas ut mot att behandlingen grundas på avtalet med den registrerade. Om det inte föreligger ett kundförhållande kan den lagliga grunden istället bli intresseavvägning. Möjligheten att byta laglig grund är en engångsföreteelse som endast är möjlig i skiftet mellan de två regelverken.

---

Affärsadvokaterna kommer att i vårens nyhetsbrev svara på frågor om GDPR. Om ditt företag har fastnat på någon fråga i erat GDPR-projekt, eller om ni inte har kommit igång ännu, kan ni kontakta Affärsadvokaterna för att få hjälp, diskutera vägen framåt eller sätta upp ett projekt.



Mattias Lindberg, Affärsadvokaterna i Sverige AB

http://affarsadvokaternasverige.se/

Mattias.lindberg@affarsadvokaternasverige.se 
Mobil +46 708 13 05 18


Affärsadvokaterna är en modern advokatbyrå med inriktning på affärsjuridik som erbjuder juridiska tjänster av högsta kvalitet och med största engagemang. Affärsadvokaterna erbjuder rådgivning rörande alla typer av strategiska avtal, IT-rätt, outsourcing, samt vid integritetsskyddsfrågor, vilket innebär att de driver och är inblandade i många projekt där deras kunder förbereder sig inför implementeringen av den nya dataskyddsförordningen (GDPR). I arbetet med GDPR-projektet uppstår frågeställningar om olika delar av det nya regelverket som är återkommande i många av projekten. Affärsadvokaterna har därför samlat ihop några av dessa frågor och besvarat dem för att på så sätt underlätta implementeringsarbetet för Kontaktas medlemmar. Om du vill ha mer information kring någon av svaren, eller har en annan fråga om GDPR, är du välkommen att höra av dig till Kontakta eller Affärsadvokaterna