Native Annons
200 miljoner kr i böter för att inte följa nya PUL
En av de största förändringarna är just de höga böter man kan drabbas av om man bryter mot den nya lagen, närmare bestämt det som är högst av 4 procent av företagets globala omsättning eller 20 miljoner euro.
Lagen gäller behandling av personuppgifter, vilket innebär att den är relevant för så gott som alla företag eftersom så gott som alla behandlar personuppgifter. Vi kan börja med vad som är personuppgifter, nämligen alla uppgifter som – direkt eller indirekt (till exempel genom samkörning med andra uppgifter som man har tillgång till eller om man förfogar över lagliga medel som rimligen kan komma att användas och som gör det möjligt att koppla uppgifterna till en person) – kan kopplas till en levande fysisk person. Det kan bland annat vara fråga om namn, telefonnummer, e-postadress, omdömen, bankuppgifter, uppgift om medlemskap i föreningar, biometriska uppgifter (till exempel fingeravtryck), fotografier eller IP-adresser.
När det sedan gäller vad som är behandling så är det kort sagt all kontakt med personuppgifter, till exempel lagring, ändring, läsning, överföring eller radering.
Personuppgifter behandlas ofta i register över exempelvis anställda, deras anhöriga, kunder och kontaktpersoner hos leverantörer samt i innehåll i e-post och på webbplatser. Om det är så att man redan idag följer Persinuppgiftslagen, den praxis som har utvecklats på området och de rekommendationer och uttalanden som Datainspektionen har gjort, så har man en väldigt bra utgångsposition. Det är dock många som inte riktigt har koll på sin hantering av personuppgifter. Överträdelser kan till exempel ske genom att behandla personuppgifter utan laglig grund (exempelvis giltigt samtycke eller en så kallad intresseavvägning) eller att inte lämna korrekt information om behandlingen. Frågan som man får ställa sig är om man framöver har råd att inte ha koll.
Men om det nu är så att man redan har ganska bra koll på sin behandling av personuppgifter, så finns det ändå en del nyheter som man behöver ta hänsyn till. Här följer ett urval:
Hårdare krav på samtycke
Det blir strängare krav på vad som anses vara ett giltigt samtycke för att få behandla personuppgifter (samtycke är dock inte den enda grunden för att få behandla personuppgifter). Förändringen medför blanda annat att man kan behöva fundera på om det går bra att dela upp samtycket att avse olika delar självständiga från varandra istället för att ha allt inbakat i allmänna villkor eller en policy för personuppgiftsbehandling.
Ingen missbruksregel
I nuvarande personuppgiftslagen så har vi i Sverige en bestämmelse som i korthet innebär att om man behandlar personuppgifter som inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av dem, så har man i princip fria tyglar så länge man inte genom behandlingen kränker den registrerades personliga integritet. Det här undantaget träffar typiskt sett behandling av personuppgifter som sker i innehåll i e-post eller på webbplatser. I och med undantaget alltså försvinner så måste man alltså framöver bland annat ha en rättslig grund för behandlingen och lämna förhållandevis omfattade information om den.
Självständigt ansvar för personuppgiftsbiträden
Om du är ansvarig för ett kundregister som du lagrar hos en molntjänstleverantör, så är leverantören ditt personuppgiftsbiträde. Det innebär bland annat att ni måste ha ett skriftligt avtal som reglerar många frågor rörande personuppgiftsbehandlingen. För närvarande så är personuppgiftsbiträdet endast ansvarig gentemot personuppgiftsbiträdet, men i och med den nya lagen så kan personuppgiftsbiträdet hållas direkt ansvarig gentemot Datainspektionen och registrerade individer.
Krav på inbyggd säkerhet
Den nya lagen ställer hårdare krav på att tekniska och organisatoriska säkerhetsåtgärder införs för att skydda personuppgifterna. Vad som krävs varierar beroende på bland annat typ av verksamhet, tillgänglig teknik, kostnad och vad det är för typ av personuppgifter som behandlas. Det finns dock anledning att se över sina IT-system så att man åtminstone kan säkerställa att det finns skydd mot såväl extern som intern obehörig åtkomst samt att det går att följa upp sådan åtkomst.
Vi på Advokatfirman Glimstedt hjälper er så klart gärna med att bena ut de legala frågorna rörande personuppgifter som finns i er verksamhet. Vi kan även löpande agera som ert dataskyddsombud, om det är så att er verksamhet kräver att ni ska ha ett sådant eller om ni ändå vill ha det. Men eftersom även de tekniska frågorna kan vara nog så komplicerade (särskilt med tanke på de nya kraven på säkerhet), så erbjuder vi även ett Workshop-koncept tillsammans med en samarbetspartner med teknisk spetskompetens. På så sätt får ni hjälp med både de juridiska och tekniska utmaningar som följer med den nya lagen.
Ett år kan framstå som en lång tid, men framförallt tekniska förändringar i era IT-system kan ta tid att implementera. Det är därför bra att komma igång med processen redan nu.
Advokatfirman Glimstedt
Advokatfirman Glimstedt är en av Sveriges största advokatbyråer, en fullservicebyrå med över 250 medarbetare på 13 platser i Sverige och tre i Baltikum. Vi erbjuder kompetens inom alla juridiska områden och kan samtidigt bygga starka relationer på plats. Med skicklighet, engagemang och stor förståelse för dig och din affär är vi en stabil partner hela vägen.
Kommentera artikeln
I samarbete med Ifrågasätt Media Sverige AB (”Ifrågasätt”) erbjuder Afv möjlighet för läsare att kommentera artiklar. Det är alltså Ifrågasätt som driver och ansvarar för kommentarsfunktionen. Afv granskar inte kommentarerna i förväg och kommentarerna omfattas inte av Affärsvärldens utgivaransvar. Ifrågasätts användarvillkor gäller.
Grundreglerna är:
- Håll dig till ämnet
- Håll en respektfull god ton
Såväl Ifrågasätt som Afv har rätt att radera kommentarer som inte uppfyller villkoren.