Advokaten 1
PRAKTISK JURIDIK på inför den 25 maj 2018 samt sk
yldigheten att inom en månad redovisa vilken behandling av den registrerades personuppgifter som företagits. Vid en jämförelse med personuppgiftslagen (PuL) innehåller GDPR följande nyheter och konsekvenser: höga sanktionsavgifter Sanktionsavgifter upp till 20 miljoner euro eller 4 procent av ett företags omsättning. Myndigheter kan få betala sanktionsavgifter på upp till 10 miljoner kronor. missbruksregeln försvinner Regleringen om ostrukturerade personuppgifter och missbruksregeln (som är en svensk särreglering) försvinner vid införandet av dataskyddsförordningen. profilering Det införs ett rigoröst regelverk för så kallad profilering. Detta införs för att skydda EUmedborgares integritet. Det blir helt enkelt svårare för organisationer att profilera sina kunder brett. nya principer Öppenhet, integritet, konfidentialitet och ansvarsskyldighet. Exakt vad som ryms i dessa nya begrepp får en klarare betydelse efter införandet av dataskyddsförordningen då en ny rättspraxis bildas. ökad informationsskyldighet Den personuppgiftsansvarige kommer att få en utökad informationsskyldighet då den som vill efterfråga uppgifter (den registrerade) kan göra det när hen vill. Den personuppgiftsansvarige måste lämna uppgifter inom en månad med en månads förlängning om den personuppgiftsansvarige kan visa ett tydligt ADVOKATEN NR 4 • 2018 PRESENTATION Dag Wetterberg är advokat och författare. Han har skrivit Medierätt – en handbok (Norstedts Juridik 2014) samt Dataskyddsförordningen GDPR. Förstå och tillämpa i praktiken (Sanoma Utbildning 2018). behov. Om den registrerade begär utdrag elektroniskt ska hen även få informationen elektroniskt och kostnadsfritt. Den personuppgiftsansvarige ska kunna lämna information om de åtgärder som gjorts och ge klar, enkel och lättfattlig information samt underlätta den registrerades utövande av sina rättigheter. dataportabilitet Regleringen om dataportabilitet tar bland annat sikte på sociala nätverk som Twitter, Facebook och Linkedin. Den registrerade har enligt denna reglering rätt att överföra sina personuppgifter från till exempel Twitter till Facebook. Denna reglering är inte begränsad till sociala nätverk, varför den kan gälla många personuppgiftsansvariga. personuppgiftsincidenter I reformen har en tvingande reglering om anmälan av personuppgiftsincidenter till Datainspektionen införts. Den personuppgiftsansvarige ska göra en sådan anmälan inom 72 timmar från att incidenten inträffat. Den som är personuppgiftsbiträde ska rapportera till den personuppgiftsansvarige. Ibland måste även den personuppgiftsansvarige rapportera till den registrerade. rätten till radering En registrerad person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser hen raderas. barns samtycke Regleringar införs rörande barns samtycke. I dataskyddslagen föreslås samtyckesåldern bli 13 år i Sverige. Sammantaget är GDPR ett uttryck för lagstiftarens vilja att stärka den registrerades rättigheter (fysikerns) att få sin integritet respekterad. Således har denna lagstiftning egentligen ingenting med iträtt att göra utan är en offentligrättslig lagstiftning som tar sikte på att skydda privatpersoners integritet. Anledningen till att denna lagstiftning, och även PuL, har kategoriserats som iträtt är att frågorna ofta hamnat på organisationens itavdelning eller externa itsupport. När en organisation ska genomföra införlivandet av GDPR i sin organisation är det min starka rekommendation att styrelse och ledning (verksamheten) leder genomförandet av projektet även om it och juridik är en viktig del för ett lyckat GDPRprojekt. Av illustrationen nedan är det alltså i verksamheten som projektet genomförs och där it och juridik kopplas på som viktiga komponenter för ett lyckat projekt. Nedan skriver jag om hur vi som rådgivare lyckats genomföra lyckade GDPRprojekt hos organisationer, helt enkelt några saker advokater kan ta med sig som rådgivare i de GDPRprojekt som ni deltar i. KÄNNETECKNANDE FÖR GDPR OCH HUR MAN KAN DRIVA ETT GDPR-PROJEKT GDPR är en omfattande lagstiftning med 178 skäl och 98 artiklar. Det säger sig självt att det är en stor utmaSÅLEDES HAR DENNA LAGSTIFTNING EGENTLIGEN INGENTING MED ITRÄTT ATT GÖRA UTAN ÄR EN OFFENTLIGRÄTTSLIG LAGSTIFTNING SOM TAR SIKTE PÅ ATT SKYDDA PRIVATPERSONERS INTEGRITET. » 57