28 juni 2017
Fem viktiga nyheter i GDPR – den nya dataskyddsförordningen
1. Den enskildes rättigheter förstärks på en rad punkter, t ex:
Samtycket: Samtycket ska vara tydligare, lätt att hitta och skrivet på ett lättbegripligt språk. Observera att en förifylld ruta för samtycke inte räcker.
Information: De registrerade ska få mycket mer information om behandlingen av personuppgifter än tidigare, vilket innebär att de allra flesta personuppgiftsansvariga måste skriva om sina informationstexter till både kunder och anställda.
Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att de raderas.
Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).
2. Missbruksregeln försvinner
Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras. Lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.
3. Skyldighet att kunna visa efterlevnad av förordningen (accountability)
GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.
4. Sanktionsavgifter
GDPR fastställer att sanktionsavgifter kan påföras upp till 20 miljoner EUR eller 4 % av den totala globala årsomsättningen. Denna nya regel har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.
5. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt
Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:
Det blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga
Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.
Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar
Kan drabbas av sanktionsavgifter och förelägganden från Datainspektionen
Kan behöva revidera sina tjänstevillkor eftersom kraven på hur biträdesavtalet ska se ut utökas
Behöver se över systemen så att de uppfyller kraven på ”privacy by design” och ”privacy by default”
Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera till exempel tvistelösning, regressrätt och uppsägning.
No Russia Clause
I december förra året antog EU-kommissionen ett nytt sanktionspaket mot Ryssland. I artikel 12 g i förordning (EU) 833/2014 anges en skyldighet för EU-företag som exporterar vissa produkter till länder…
Läs vidareDigitala bolagsstämmor – lagändring från och med 1 januari 2024
Sedan den 1 januari 2024 är det möjligt att hålla digitala bolagsstämmor. Det tidigare temporära undantaget till följd av pandemin har nu blivit ett tillgängligt alternativ till en fysisk bolagsstämma.…
Läs vidareProLegal inleder året med att välkomna ny kollega!
ProLegal fortsätter expandera och inleder året med att välkomna Ella Näslund som ny kollega! Ella har nyligen tagit sin juristexamen vid Göteborgs Universitet med specialkurser inom bland annat konstitutionell EU-rätt,…
Läs vidare