28 juni 2017

Fem viktiga nyheter i GDPR – den nya dataskyddsförordningen

1. Den enskildes rättigheter förstärks på en rad punkter, t ex:

Samtycket: Samtycket ska vara tydligare, lätt att hitta och skrivet på ett lättbegripligt språk. Observera att en förifylld ruta för samtycke inte räcker.

Information: De registrerade ska få mycket mer information om behandlingen av personuppgifter än tidigare, vilket innebär att de allra flesta personuppgiftsansvariga måste skriva om sina informationstexter till både kunder och anställda.

Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att de raderas.

Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).

2. Missbruksregeln försvinner

Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras. Lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.

3. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, 
gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.

4. Sanktionsavgifter

GDPR fastställer att sanktionsavgifter kan påföras upp till 20 miljoner EUR eller 4 % av den totala globala årsomsättningen. Denna nya regel har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.

5. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:

Det blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga

Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.

Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar

Kan drabbas av sanktionsavgifter och förelägganden från Datainspektionen

Kan behöva revidera sina tjänstevillkor eftersom kraven på hur biträdesavtalet ska se ut utökas

Behöver se över systemen så att de uppfyller kraven på ”privacy by design” och ”privacy by default”

Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera till exempel tvistelösning, regressrätt och uppsägning.

Anställds angrepp på företagshemligheter

Arbetsdomstolen har i ett avgörande (AD 2020 nr 21) beslutat att en f.d. anställd vid vite ska förbjudas att angripa vissa av den tidigare arbetsgivarens företagshemligheter. Med angrepp avses att…

Läs vidare

Stöd för sänkta hyror i utsatta branscher

Det nya coronaviruset har fått stora ekonomiska konsekvenser i hela Sverige och vissa branscher, som t ex hotell- och restaurangbranschen och handeln är särskilt påverkade. Regeringen har därför beslutat om…

Läs vidare

ProLegal rådgivare vid försäljningen av Wireless Solutions till LumenRadio

LumenRadio AB har den 12 mars fullbordat förvärvet av samtliga aktier i Wireless Solutions Sweden AB med en årsomsättning om cirka 35 miljoner kronor. Parterna i affären har bestämt sig…

Läs vidare