Är du redo för gdpr?

Få verksamheter lämnas oberörda när EU:s nya data­skyddsförordning, gdpr, träder i kraft i maj. Men vad innebär den i praktiken? Och hur påverkas svensk lagstiftning?

Den 25 maj börjar EU:s nya dataskyddsförordning, General Data Protection Regulation, gälla som lag i samtliga EU-länder. Syftet är att skapa en harmoniserad lagstiftning gällande personuppgifter inom EU, men också hindra att personlig data används på ett integritetskränkande sätt. Och ingen lämnas oberörd. Gdpr omfattar alla företag och organisationer som behandlar personuppgifter - det vill säga namn, bilder, e-postuppgifter, ip-adresser eller andra uppgifter som kan kopplas till en enskild individ. Även privatpersoner som behandlar personuppgifter för annat än enskilt bruk omfattas av förordningen.

Att bryta mot den nya förordningen kan dessutom bli extremt dyrt. Högsta administrativa böterna för företag är 4 procent av den globala årsomsättningen, eller 20 miljoner euro. Böterna döms ut av den nationella tillsynsmyndigheten, i Sveriges fall Datainspektionen, som kommer att döpas om till Integritetsskyddsmyndigheten.

– Pengarna gör att alla har panik. Tidigare har högsta böterna i Sverige varit runt 50 000 kronor, säger Johan Hübner, som jobbar på advokatfirman Delphi och är specialiserad på it-relaterad juridik och immaterialrätt.

Han beskriver förordningen som en utökning och skärpning av personuppgiftslagen, pul, och påpekar att en stor del av utmaningen är att många verksamheter inte lagt tillräckligt med tid och resurser på att följa pul fullt ut.

– De har nu en hel del att göra och inte särskilt mycket tid att göra det på. Men de flesta som följer personuppgiftslagen i dag behöver inte ha panik, säger Johan Hübner.

VILKA PERSONUPPGIFTER som får behandlas påverkas nämligen inte av gdpr. Precis som i dag måste det finnas laglig grund för att behandla personuppgifter, till exempel samtycke från den registrerade. Uppgifterna måste även fortsättningsvis vara korrekta, och det är inte tillåtet att lagra fler personuppgifter än nödvändigt, eller längre tid än vad som krävs, för att nämna några exempel.

Så vilka är de stora nyheterna?

Förutom sanktionerna är en viktig nyhet att den så kallade missbruksregeln försvinner. Missbruksregeln innebär att behandling av ostrukturerade personuppgifter, i till exempel e-post eller enklare listor på datorn, inte omfattats av lika stränga regler som strukturerad behandling, till exempel i en databas. Men i och med gdpr kommer alla personuppgifter omfattas av samma lagkrav. Det tycker Sören Öman är problematiskt. Han är särskild utredare i Socialdataskyddsutredningen och ordförande i Arbetsdomstolen, och har själv skrivit missbruksregeln.

– Hur ska vi kunna följa de 99 artiklarna i förordningen varje gång vi skriver ett mejl? Hur kan vi förhindra att någon i organisationen skriver att Ulla i receptionen är sjuk i dag och ersätts av Nisse? Det är ett exempel på varför vi tyckte missbruksregeln var nödvändig, säger han.

Andra exempel på nyheter i den nya förordningen är att säkerhetskraven kring personuppgifter skärps, likaså kraven på information till registrerade. Dessutom införs dokumentationskrav kring hanteringen av personuppgifter som innebär att företag och myndigheter vid var tid måste kunna visa upp dokumentation på sitt arbete med integritetsfrågor och peka på vilka åtgärder som vidtas för att följa förordningen. Gdpr lagfäster även rätten att bli bortglömd, som innebär att organisationer i vissa fall måste radera alla uppgifter om en registrerad om den registrerade kräver det.

När det gäller svensk lagstiftning är största skillnaden att personuppgiftslagen försvinner och ersätts av gdpr. Eftersom denna ger medlemsländerna rätt att stifta nationella lagar på vissa områden håller även en svensk dataskyddslag på att tas fram. Här föreslås bland annat att barn som är minst 13 år ska kunna samtycka till viss behandling av personuppgifter. Andra exempel i lagförslaget är att även myndigheter ska kunna omfattas av sanktionerna, men att lagen och förordningen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Propositionen till den nya lagen läggs fram i februari, och lagändringarna föreslås träda i kraft 25 maj 2018.

– Men i övrigt påverkas svensk lagstiftning inte nämnvärt av gdpr, säger Sören Öman.

Han slutförde nyligen arbetet med att se över alla lagar under social­departementet, vilket omfattar såväl socialtjänstens lagstiftning som patientdatalagen.

- Några ändringar i sak behövdes inte. Det blev bara mindre justeringar, och alla hänvisningar till pul fick ändras, säger Sören Öman.

En stor utmaning med gdpr, enligt flera experter Lag & Avtal talat med, är att förordningen är generellt skriven och i många fall svår att tolka.

– Förordningar har en tendens att vara småluddiga, men det brukar vara tydligare än såhär. Och det finns ingen rättspraxis eftersom gdpr inte trätt i kraft än, säger Johan Hübner.

Därför är det också svårt att säga vad konsekvenserna för brott mot regelverket kommer att bli, eller hur hård tillsynsmyndigheten kommer att vara. Men Sören Öman påpekar att bötesbeloppen 4 procent av omsättningen eller 20 miljoner euro är de absolut högsta, och främst avsedda för stora globala företag som Google, Face­book och liknande.

– Jag tror inte att mindre företag som gör små fel kommer drabbas av miljonböter, säger Sören Öman.

– Jag tror det blir svårt att uppfylla reglerna till hundra procent. Men den som gör sitt bästa har förmodligen inte så mycket att oroa sig för, så länge de inte helt missuppfattat reglerna, säger Johan Hübner.

Johan Hübner menar att de som kommer ha störst bekymmer är företag som använder personlig data som affärsidé, som sociala medier, dagligvarukedjor, e-handlare och spelbolag.

– De är i hög utsträckning måltavla för lagstiftningen. Information är den nya oljan, och personuppgifter ger stora möjligheter att rikta reklam och skapa nya affärsmöjligheter, säger han.