Nya Dataskyddsförordningen – Vad behöver du göra?

2017-01-09

Nyhetsbrev januari 2017 - Arbetsrätt

Den 25 maj 2018 träder en ny dataskyddsförordning i kraft. Den kommer direkt att fungera som lag i Sverige och ersätta den nuvarande personuppgiftslagen (”PUL”). Alla arbetsgivare kommer att bli berörda av de nya reglerna och en hel del förberedelser kommer att krävas. Konsekvensen av den nya dataskyddsförordningen är att personuppgiftsansvarigas, d.v.s. bland annat arbetsgivares, ansvar och skyldigheter förtydligas och utökas och de registrerades, d.v.s. privatpersoners (inklusive anställda), rättigheter förstärks. I detta nyhetsbrev får ni en bild av de nya reglerna och hur ni som arbetsgivare måste förbereda er verksamhet redan nu.

Skärpta krav på informationsgivning m.m.

De nya reglerna är mer långtgående och detaljerade än de regler som gäller idag. Bland annat finns det krav på att informationen till den registrerade ska vara tydligare. Den registrerade ska informeras om den rättsliga grunden för personuppgiftsbehandlingen och hur länge personuppgifterna kommer att lagras. Den registrerade ska också få information om att han/hon har rätt att få felaktiga uppgifter rättade och hur klagomål kan lämnas in till Datainspektionen om han/hon anser att personuppgifterna har behandlats felaktigt. Informationen som lämnas måste dessutom vara kortfattad och lättbegriplig.

Samtyckeskravet skärps också. Det krävs ett uttryckligt och aktivt samtycke från den registrerade om att dennes personuppgifter får behandlas. Det räcker således inte att samtycket är en förifylld ruta längst ner i ett avtal, utan personen i fråga måste aktivt kryssa i rutan själv.

Samtycke från personer under 16 år kommer framöver kräva målsmans godkännande. Åldersgränsen kan maximalt sänkas till 13 år (det är upp till medlemstaten att besluta om). Detta kommer att gälla även sociala medier som Twitter, Facebook o.s.v.

Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden

De nya reglerna ställer större krav på både den personuppgiftsansvarige och personuppgiftsbiträdet. Bland annat ska personuppgiftsbehandlingen dokumenteras och den personuppgiftsansvarige ska kunna visa att den följer förordningens hanteringsregler. Det innebär att det i princip blir ett krav att den personuppgiftsansvarige har en skriftlig personuppgiftspolicy som tydligt klargör vilka personuppgifter som hanteras, hur detta görs och på vilken legal grund det sker.

Den s.k. missbruksregeln som finns i dagens PUL försvinner i och med att de nya reglerna träder i kraft. Missbruksregeln har inneburit att användning av ostrukturerat material, såsom löpande text på internet och e-postkorrespondens, inte ses som personuppgiftsbehandling. Detta undantag kommer således inte finnas kvar.

Alla IT-system där personuppgifter behandlas måste uppfylla kraven på s.k. ”privacy by design”, vilket innebär att ett dataskydd ska integreras i IT-system redan från början, bland annat för att se till att endast nödvändiga personuppgifter behandlas. IT-avdelningarna har med andra ord ett digert arbete framför sig.

Vid ett dataintrång ska den personuppgiftsansvarige som huvudregel inom 72 timmar underrätta Datainspektionen. Om intrånget innebär en hög risk för kränkning av den enskildes fri- och rättigheter ska dataintrånget även kommuniceras till denne.

Till skillnad från dagens regler där endast den personuppgiftsansvarige kan bli skadeståndsansvarig kommer även ett personuppgiftsbiträde kunna bli skadeståndsskyldigt.

Individens rättigheter stärks

Individen vars personuppgifter behandlas får utökade rättigheter. Det innebär bland annat en rätt att bli ”glömd”. Den registrerade har med andra ord rätt att på begäran få sina personuppgifter raderade från samtliga system som behandlar personuppgifterna om dessa inte är nödvändiga att behålla enligt lag, avtal etc.

En registrerad person kommer också att få rätt att få ut sina personuppgifter i ett maskinläsbart format, något som i förordningen kallas ”dataportabilitet”. Det innebär t.ex. att en före detta arbetsgivare är skyldig att se till att individen kan föra över alla sina personuppgifter till en ny arbetsgivare i ett kompatibelt format.

Skärpta sanktioner

Datainspektionen kommer även fortsättningsvis vara huvudansvarig för tillsynen av att reglerna följs i Sverige. Datainspektionen kan tilldöma sanktioner om reglerna inte följs, exempelvis skriftlig varning, återkommande tillsyn av verksamheten, skadestånd samt böter.

Bötesbeloppen vid brott mot förordningen kan uppgå till så mycket som 20 000 000 euro eller 4 procent av bolagets/koncernens globala årsomsättning.

Vad behöver jag som arbetsgivare göra?

Även om det är ett tag kvar till att förordningen träder ikraft i maj 2018 är det hög tid att redan nu se över sin personuppgiftsbehandling. Personuppgifter kommer framöver vara en fråga som berör många funktioner inom bolaget, såsom ledningen, HR, ekonomi och IT, och det är viktigt att dessa samarbetar för att säkerställa att reglerna följs. Rutiner och policys för hur personuppgifter ska hanteras bör som sagt finnas på plats. Bara kartläggandet av vilka personuppgifter som ett företag behandlar tar dock tid, varför vi uppmanar er att börja arbetet redan nu. Mer specifikt rekommenderar vi er att se över:

  • Vilka personuppgifter behandlas i verksamheten, hur samlas de in och lämnas de ut till annan? Med vilket lagstöd behandlas uppgifterna? Hur behöver ni anpassa behandlingen för att uppfylla Dataskyddsförordningens krav?
  • Använder ni er av den s.k. missbruksregeln idag? I sådana fall måste ni undersöka om den behandlingen är tillåten efter att de nya reglerna börjar gälla.
  • Hur måste IT-system och procedurer anpassas för att säkerställa att kraven på dataskydd uppfylls?
  • Behöver biträdesavtal anpassas eller kompletteras på något sätt?
  • Hur behöver de befintliga riktlinjerna/policys anpassas för att uppfylla de nya kraven?
  • Vilka system måste implementeras för att säkerställa att företaget kan plocka ut sina personuppgifter och överföra dem till någon annan på begäran av en anställd (dataportabilitet)?

Detta kan låta övermäktigt och de nya sanktionsreglerna är omfattande. De nya reglerna behöver emellertid inte leda till alltför stora svårigheter så länge ni sätter igång med arbetet redan nu.

Text: Anne Riegnell, biträdande jurist/associate

 

Kontakta gärna oss för mer information om vilka åtgärder ni måste vidta med anledning av de nya reglerna så att ni är så förberedda som möjligt i maj 2018.

 

Kontakta