28 juni 2017

Fem viktiga nyheter i GDPR – den nya dataskyddsförordningen

1. Den enskildes rättigheter förstärks på en rad punkter, t ex:

Samtycket: Samtycket ska vara tydligare, lätt att hitta och skrivet på ett lättbegripligt språk. Observera att en förifylld ruta för samtycke inte räcker.

Information: De registrerade ska få mycket mer information om behandlingen av personuppgifter än tidigare, vilket innebär att de allra flesta personuppgiftsansvariga måste skriva om sina informationstexter till både kunder och anställda.

Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att de raderas.

Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).

2. Missbruksregeln försvinner

Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras. Lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.

3. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, 
gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.

4. Sanktionsavgifter

GDPR fastställer att sanktionsavgifter kan påföras upp till 20 miljoner EUR eller 4 % av den totala globala årsomsättningen. Denna nya regel har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.

5. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:

Det blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga

Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.

Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar

Kan drabbas av sanktionsavgifter och förelägganden från Datainspektionen

Kan behöva revidera sina tjänstevillkor eftersom kraven på hur biträdesavtalet ska se ut utökas

Behöver se över systemen så att de uppfyller kraven på ”privacy by design” och ”privacy by default”

Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera till exempel tvistelösning, regressrätt och uppsägning.

ProLegal rådgivare vid försäljningen av Medins Havs och Vattenkonsulter till Sweco

Sweco Sverige AB förvärvade den 26 september 2023 samtliga aktier i Medins Havs och Vattenkonsulter AB med en årsomsättning om cirka 36 MSEK och 35 anställda. Medins har spetskompetens inom…

Läs vidare

Kom och jobba med oss!

Är du nyfiken på möjligheten att arbeta som bolagsjurist för flera olika bolag? Vill du bli en del av ett prestigelöst team som stöttar varandra och har roligt tillsammans? Då…

Läs vidare

Är semestern helig?

Inför semestertider har vår arbetsrättsspecialist Josephine Fremling sammanfattat två återkommande frågor som är bra för arbetsgivare att känna till. Den första är om någon av parterna, arbetsgivare eller arbetstagare, kan…

Läs vidare