Få koll på ny lag

En tredjedel av svenska organisationer och företag vet inte hur den nya dataskyddsförordningen ska hanteras, visar en undersökning av Opinium. Men Elisabeth Jilderyd, jurist på Datainspektionen, berättar vad du som chef och HR-personal bör känna till.

Enligt EU:s nuvarande dataskyddsdirektiv från 1995 får varje medlemsstat forma sina egna dataskyddslagar. I Sverige gäller personuppgiftslagen, PuL, ett litet tag till.

– Direktivet har ju några år på nacken nu, och det har hänt mycket i teknikutvecklingen och sättet vi hanterar personuppgifter. Regelverket behöver moderniseras och EU vill samtidigt att det ska vara enhetligare länderna emellan.

Så förklarar Elisabeth Jilderyd bakgrunden till den nya dataskyddsförordningen, GDPR (The General Data Protection Regulation), som träder i kraft den 25 maj 2018. Precis som nu kommer den enskilde att ha rätt att få information om behandling av hans eller hennes personuppgifter, men med de nya reglerna ska informationen vara mer omfattande och detaljerad.

Och det finns fler viktiga skillnader. En är ett krav på konsekvensbedömning innan personuppgifter behandlas med syfte att hindra integritetskränkning.

– Om riskerna är höga måste man vända sig till Datainspektionen, som är tillsynsmyndighet, och begära så kallat förhandssamråd för att få förslag på hur man kan minska riskerna, säger Elisabeth Jilderyd.

En annan nyhet är skyldigheten att anmäla till Datainspektionen om personuppgifter tappas bort eller om obehöriga kommit åt dem.

– Tanken är att vi ska få en överblick över vilka incidenter som sker och kunna ingripa om det behövs.

Dessutom måste myndigheter samt verksamheter inom bland annat hälso- och sjukvård ha ett dataskyddsombud som bevakar att reglerna följs. Det har tidigare varit frivilligt.

Att bryta mot den nya förordningen kan kosta privata företag 20 miljoner euro i böter. Det gäller även privata företag som finansieras av offentliga medel.

Trots att EU-förordningen ska vara enhetlig finns det fortfarande utrymme för nationella bestämmelser. Dataskyddsutredningen föreslår till exempel en eventuell kompletterande svensk lag om att även offentlig sektor ska kunna bötfällas vid brott mot regelverket, i så fall med max 20 miljoner kronor. Kompletteringsförslaget innebär också att myndigheter i Sverige ska kunna behandla personuppgifter utifrån rättsliga grunder, som exempelvis myndighetsutövning.

Även om det är en del nytt att lära, är de grundläggande principerna desamma som nu. Ändamålsprincipen, som säger att syftet med en datainsamling om personuppgifter måste vara klarlagt, är en av de centrala. Samma sak gäller så kallad lagringsminimering, att uppgifter inte bevaras längre än nödvändigt. Och precis som tidigare krävs den enskilda individens samtycke eller att uppgifter är nödvändiga för att uppfylla vissa avtal, till exempel ett anställningsavtal.

– Det viktigaste i förberedelsearbetet är att ta reda på vilken personuppgiftsbehandling man har i dag och se att den följer reglerna. Då är man en bra bit på väg och kan lättare se till att uppfylla de nya skyldigheterna, tipsar Elisabeth Jilderyd.