Advokaten 1
REPORTAGE ras på de höga sanktionsavgifterna. Och
det är förstås svårt att inte slås av hotet om böter på 20 miljoner euro. Samtidigt tror inte Henrik Bengtsson att advokatbyråer generellt behöver oroa sig så mycket över risken för böter. – Det ska i princip vara uppsåtligt och man ska inte ha rättat sig, och det ska vara grova överträdelser. Advokatbyråer står nog inte i första ledet här, säger han. Inte heller Karin Faxén Ågrup tänker i första hand på sanktionsavgifterna i samband med GDPR. I stället är det risken för att förlora klienternas förtroende som utgör den största faran, menar hon. − Nesan av att tappa personuppgifter är en större risk än stora sanktionsbelopp. Om vi till exempel skulle ha ett läckage så att utomstående kommer åt våra klientuppgifter, det tror jag är värre, säger hon. Läs mer på sid 56, Praktisk juridik av advokat Dag Wetterberg. allmänna handlingar. Datainspektionen får sedan göra en sekretessprövning varje gång en rapport begärs ut. Henrik Bengtsson förutser att journalister, med dagens offentlighet, kan komma att begära ut incidentrapporter och skriva om dessa. Datainspektionen delar uppenbarligen farhågorna. I en skrivelse till regeringen redan i juli 2017 efterlyste myndigheten ett starkare sekretesskydd. – Vi befarar att risken för itattacker mot företag, myndigheter och andra organisationer ökar redan om det genom incidentrapportering avslöjas vilken organisations itsystem som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att över huvud taget anmäla incidenter, sa Datainspektionens chefsjurist och ställföreträdande generaldirektör HansOlof Lindblom i ett pressmeddelande om skrivelsen. HOT OM SANKTIONER INTE VÄRST Det tycks alltså finnas ett antal frågor kvar att besvara kring dataskyddsförordningen. I vissa delar ser Henrik Bengtsson och den övriga arbetsgruppen också risker för att dataskyddsförordningens krav kan komma på kollisionskurs med advokaternas eget regelverk och etiska system. Ett exempel på detta är att GDPR ställer ADVOKATEN NR 4 • 2018 krav på att personuppgifter raderas när de inte längre behövs, medan Advokatsamfundets vägledande regler föreskriver tio års arkiveringsskyldighet. – Man får inte behålla uppgifterna längre än nödvändigt. Där har vi gjort bedömningen att nödvändigt är vad god advokatsed säger, förklarar Henrik Bengtsson. En annan potentiell krockyta är informationsskyldigheten. Grunden i dataskyddsförordningen är nämligen att den som får sina personuppgifter lagrade alltid ska informeras om detta. – Om jag håller på FINNS FÖRDELAR Det är uppenbart att implementeringen av dataskyddsförordningen krävt och kräver mycket arbete på advokatbyråerna. Men finns det då inga fördelar med reformen? Karin Faxén Ågrup och Eva Palm svarar först med ett unisont nej. Efter lite skratt blir de sedan mindre kategoriska. – På ett sätt gör det ju det, eftersom vi tvingas rensa bättre i systemen. Vi är ju annars väldigt sparsamma, som jurister ofta är. Nu har vi incitament att tvingas göra oss av med inaktuell information, säger Karin Faxén Ågrup. Och Eva Palm ser fördelar ur ett informationssäkerhetsperspektiv. Visserligen hade byrån redan innan en hög nivå här. Men: – Det här blir en genomlysning ur ett annat perspektiv, där vi kan checka av så att det inte finns några brister. Det har varit nyttigt, sammanfattar hon. Även Eleonore HäHENRIK BENGTSSONS RÅD VID IMPLEMENTERINGEN AV GDPR l Börja med att inventera de personuppgifter som finns. l Kontrollera hur ni gallrar era personuppgifter, och då särskilt e-post. att förbereda ett mål i domstol eller gör en kartläggning av styrelseledamöterna inför förvärv av ett bolag, så behandlas en massa personuppgifter. Att då informera de registrerade om vad som sker går på tvären mot tystnadsplikten. Vår tolkning, för klienters bästa, är här att advokatsekretessen gäller före informationsskyldigheten, säger Henrik Bengtsson. Mycket av uppmärksamheten kring dataskyddsförordningen har kommit att fokusel Se över informationen till klienterna. l Se över era personuppgiftsbiträdesavtal. l Om ni har molnlösningar, se till att ni inte har dessa utanför EES-området. ger på Linklaters kan se vinster med de nya reglerna. – Det finns stora fördelar med att fundera på vilka personuppgifter vi hanterar och varför. Att vi måste motivera varför vi behåller viss information och gallra bort det vi faktiskt inte behöver. Det är viktigt då det handlar om personer och deras integritet, säger hon, och berättar att Linklaters bland annat har investerat i ett nytt, globalt HRsystem för att kunna samla hanteringen av alla personuppgifter i ett och samma system och därmed ha större kontroll. Systemet visar även tydligt den anställde vilka personuppgifter som Linklaters hanterar. ¶ 27