Dag Wetterberg är advokat och grundare av Wetterberg Advokatbyrå som är en affärsjuridisk advokatbyrå med specialisering inom GDPR, immaterialrätt, IT- rätt, marknadsrätt, yttrandefrihet samt rättsprocesser inom dessa områden. Dag är expert hos InsureSec rörande utveckling av utbildningsfrågor i GDPR. Dag föreläser vid Stockholms universitet, Uppsala Universitet, Fakultetskurser, Blendow samt hos klientbolag. Dag är aktuell med boken Dataskyddsförordningen GDPR som förklarar allt om den nya lagen.

Håll just ditt företag uppdaterat - köp boken idag!

  • Dataskyddsförordningen GDPR : förstå och tillämpa i praktiken

    Monika Wendleby, Dag Wetterberg

    Hur ska man hantera biträdesavtal och inbördes arrangemang? Vad ingår i dataskyddsombudets arbetsuppgifter och hur ska man utföra dem? Hur ska man hantera incidenter, rättigheter och gallring? Vad går gränsen för yttrandefrihet och vad får användningen av big data för betydelse vid användning av sociala medier? Denna nya upplaga är grundligt genomarbetad och innehåller nu ännu fler konkreta tips och lättbegripliga checklistor, avtalsmallar, faktarutor och andra slags visualiseringar. De juridiska delarna har fördjupats med genomgång av rättsfall och djupare analyser av de komplexa regelverken. Dataskyddsförordningen GDPR - Förstå och tillämpa i praktiken är nödvändig för säkerhetsansvariga, dataskyddsombud, HR-specialister, upphandlare, kommunikatörer och IT-experter. Den är även ett måste för styrelser och ledningsgrupper, vilka är ytterst ansvariga för tillämpningen av dataskyddsförordningen.

1. Nu har det gått ett år med GDPR, har något företag blivit fällt i Sverige?

Nej, inte i Sverige men I januari 2019 utdömde CNIL – den franska motsvarigheten till Datainspektionen- ut en sanktionsavgift på 50 miljoner Euro mot Google, för brister i företagets informationslämnande avseende riktad annonsering och för det bristfälliga sätt Google inhämtat samtycken från användare. Överträdelserna är kopplade till de rättigheter som är avsedda att möjliggöra för registrerade att förstå hur deras personuppgifter används.

Även i Portugal har den portugisiska dataskyddsmyndigheten (CNDP) utdömt en sanktionsavgift om 400 000 euro (knappt 4,4 miljoner kr). Frågan rörde ett sjukhus som i sin verksamhet hade brister i det inbyggda dataskyddet. Det visade sig att personal ibland hade tillgång till dataregistret genom falska användarprofiler: sjukhuset hade till exempel 985 registrerade profiler för läkare men bara 296 anställda läkare. Till det kom att alla läkare hade tillgång till alla patientjournaler, även de som rörde andra klinikers verksamhet. Sjukhuset hävdade att man använt ett IT-system som staten tillhandahållit och att man därför inte kunde se att man gjort fel. Myndigheten uttalade att varje personuppgiftsansvarig har ett eget ansvar och att de inte kan gömma sig bakom sådana ursäkter.

2. Vad är det många företag har missat/glömt att följa?

Lagen är komplicerad och det har bland annat handlat om hur man upplyser sina användare om hur deras personuppgifter behandlas. Detta ska ske inom en månad från det att en registrerads personuppgifter behandlas. 

3. På vilket sätt jobbar datainspektionen med GDPR idag?

Datainspektionen har under hösten 2018 slutfört en första granskning som omfattade 400 företag, myndigheter och organisationer. Kontrollen gällde kravet att utse ett dataskyddsombud i organisationen. Nästan sextio (60) organisationer fick då en reprimand, några tilldelades formella förelägganden som är en form av varning. Det kan vara intressant att notera att de som slarvat med att utse DSO var telekombolag, fackföreningar och en hel del myndigheter. Alltså organisationer som borde vara väl förberedda i frågan.

Just nu genomför Datainspektionen en granskning av användningen av samtycke som grund för hantering av personuppgifter – särskilt i situationer då samtycke kanske inte alls krävs. Det pågår även ett arbete som går ut på att tolka begreppen personuppgiftsansvarig och personuppgiftsbiträde.

4. Vad kan konsekvenserna bli om ett företag inte följt GDPR?

Det kan bli relativt ödesdigra konsekvenser för ett företag som blir sanktionerad vid en personuppgiftsincident, t.ex. att personuppgifter har spridits på ett felaktigt eller att någon inom eller utanför organisationen har del av information som den saknade behörighet till. Inte nog med att det kan kosta företaget väldigt mycket pengar. Det riskerar dessutom att få negativ inverkan på företagets varumärke vilket kan var ännu mer besvärande eftersom det handlar om förtroendet för företaget och att individer ska vara trygga när de handlar företagets tjänster och varor. Enligt min mening handlar GDPR rätt mycket om en varumärkesfråga eftersom de flesta konsumenter idag förutsätter att de företag de har att göra med har koll på dessa frågor.  

5. Vad är de viktigaste delarna inom arbetet med att fortsatt följa GDPR-lagstiftningen?

Dataskyddsförordningens övergripande syfte är att fortlöpande stärka den enskildes integritet och öka den enskildes makt över egna personuppgifter dataskyddsförordningen vill få både personuppgiftsansvariga och personuppgiftsbiträden att sträva efter att ständigt bli bättre i de avseendena genom att förbättra sig organisatoriskt och tekniskt. 

Andemeningen i dataskyddsförordningen är inte att organisationen efter sitt införandearbete ska känna sig nöjd och vila på lagrarna. I stället ska organisationen sträva efter att hela tiden bli bättre. Det är viktigt att ha med sig detta i både det strategiska och det operativa arbetet. I dataskyddsförordningen används begreppet inbyggt dataskydd för att beskriva denna strävan efter att ständigt bli bättre. Den engelska termen för inbyggt dataskydd, privacy by design, är också talande. Det handlar om att designa verksamheten utifrån alla perspektiv så att integriteten respekteras.




Tidigare intervju med Dag Wetterberg inför 25 maj 2018:

1. Vad är den primära största skillnaden med den nya lagen jämfört med tidigare?
För en organisation (alltså ett företag, en myndighet eller en ideell organisation) som anpassat sin verksamhet till personuppgiftslagens bestämmelser är det inte så stora förändringar eftersom många av förändringarna, i förhållande till personuppgiftslagen, är på marginalen. Två stora förändringar är den personuppgiftsansvariges utökade skyldighet att informera den registrerade om hur hens personuppgifter behandlas samt sanktionsavgifterna. GDPR:s kombination av höga sanktionsavgifter och en förordning som är svår att tolka är utmanande för de organisationer som ska tillämpa den.

2. Vad är en personuppgift?
En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, till exempel med en identifierare som ett namn, ett personnummer, en lokaliseringsuppgift eller onlineidentifikator eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, biometriska, psykiska, ekonomiska, kulturella eller sociala identitet. Begreppet personuppgift är brett och innefattar både text, bild och ljud.

3. GDPR är den nya Dataskyddsförordningen, korrekt? Men vi talar om den som den nya personuppgiftslagen. På vilket sätt går de två lagarna in i varandra och vilken av dem väger tyngst i de fall som båda berörs?
Personuppgiftslagen vilar på ett direktiv, Dataskyddsdirektivet, som ledde till en svensk lagstiftning 1998, Personuppgiftslagen. Denna lag upphör att gälla den 25 maj i år. När GDPR blir lag fr.o.m. den 25 maj 2018 är den stora skillnaden att den blir en harmoniserad lag i alla EU:s medlemsstater samtidigt.

4. Så GDPR ersätter gamla PUL?
Ja.

5. Vad händer som företag om man misslyckas med att följa den nya förordningen?
Eftersom det inte finns någon rättspraxis ännu så vet vi inte exakt vad som kommer att hända. Vi vet dock att en organisation som struntar i GDPR riskerar att drabbas av höga sanktionsavgifter på upp till 20 000 000 euro eller 4 % av organisationens globala årsomsättning om denna skulle vara högre.

6. Vad menas med samtycke i praktiken? "Räcker det" att en person en gång har godkänt ett företags villkor? Eller krävs nya godkännanden efter maj 2018 från redan befintliga kunder?
Ett samtycke utgör endast en av sex olika lagliga grunder för att få behandla personuppgifter. Samtycket ska vara frivilligt och lättbegripligt för den registrerade (kunden) och får inte vara för brett. Vissa organisationer kan behöva se över hur de utformat sina samtycken i samband med övergången till GDPR. Om man har ett avtal med en kund kan det utgöra en annan stabilare och långsiktigare grund för att få behandla personuppgifter eftersom ett samtycke alltid kan återkallas av den registrerade (alltså kunden).

7. Finns det olika restriktioner beroende på storlek av företag?
Nej, det gör det inte. Däremot förväntas Datainspektionen komma med uppförandekoder till s k mikroföretag vilket ska hjälpa dem i deras arbete med att införliva Dataskyddsförordningen i sin verksamhet. Tyvärr kommer dessa uppförandekoder först efter den 25 maj 2018 (se bl.a. skäl 98 i förordningstexten).

8. Innebär den nya lagen att färre telefonförsäljare kommer ringa? (Med tanke på att man sällan godkänt att de ska få tillgång till ens telefonnummer? Och anses ett telefonnummer vara en personuppgift?)
Ha ha, ja vi får väl se! Ett telefonnummer är en personuppgift och den ska därför behandlas utifrån GDPR:s rigorösa regelverk. En intressant sak med GDPR är att direktmarknadsföring anses utgöra ett berättigat intresse (alltså en av de sex lagliga grunderna) vilket framgår i skäl 47, sista meningen: Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse. Denna grund är dock fragil och den organisation som gör direktmarknadsföring på denna lagliga grund ska veta att kunden (den registrerade) har rätt att avböja fortsatta erbjudanden med omedelbar verkan.

9. Kommer man som privatperson uppleva någon skillnad i det vardagliga livet efter att lagen införs? Om ja, på vilket sätt?
Det återstår att se. Enligt min bedömning kommer en implementering av GDPR i en organisation vara förknippat med en kvalitetsstämpel. Det innebär att organisationer som är skickliga på att hantera GDPR kommer att få ett högre kundvärde eftersom kunderna i högre grad kommer att lita på organisation. Detta bör genera fler affärer och långsiktigare affärsrelationer enligt min mening.

10. Sist men inte minst - vilka är dina bästa tips i samband med den nya lagen? (gärna både till företag och privatpersoner)
Stay cool. Gör hemläxan och se detta som en nyttig genomgång av er organisations hantering av personuppgifter. Om detta görs på rätt sätt kommer er organisation få en bättre och tydligare hantering av integritetsfrågorna vilket i en förlängning kommer att leda till långsiktigare affärsrelationer och bättre affärer. Om en organisation väljer strunta i GDPR är det en risk att det blir en konkurrensnackdel i förhållande till de organisationer som införlivar inbyggt dataskydd och ett transparent och kunnigt förhållningssätt till sina kunder. När det gäller privatpersoner är det bara att gratulera dem eftersom de som EU-medborgare får världens bästa skydd för sin personliga integritet.