Martin BrinnenDen nya dataskyddsförordningen är gemensam för hela EU men mycket av det som står i förordningen är sådant som redan finns i svenska personuppgiftslagen, PUL. Har man följt PUL har man därför redan kommit långt i anpassningen till GDPR. En av de stora skillnaderna är dock att om man inte följer nya förordningen kan man drabbas av sanktionsavgifter. Den risken fanns inte i PUL vilket har gjort att en del slarvat med att följa lagen. 

Gemensam förordning

Den gemensamma förordning för EU är bygger på dataskyddsdirektivet från 1995 och 28 olika nationella lagarna som fanns tidigare. Med ett gemensamt regelverk förenklar man för till exempel företag som vill verka på hela EU-marknaden och öppnar därför upp för handel.

Det kommer att bli vara intressant att följa hur den nya lagen ska tolkas på ett gemensamt sätt.

– Det kommer att bli vara intressant att följa hur den nya lagen ska tolkas på ett gemensamt sätt. I Sverige hade vi en fungerande praxis för tolkning av PUL men det är inte säkert att den står sig mot tolkningarna i de andra länderna, säger Martin Brinnen, jurist på Datainspektionen. 

För de som lagt ut datahanteringen är det viktigt att säkerställa att den hanteras på rätt sätt. Som företag är man alltid ansvarig för de personuppgifter som behandlas även om man lägger ut behandling till tredje part. Det är vanligt att företag använder molntjänster och där kan ansvaret upplevas som oklart. Flera kan vara ansvariga så gör klart vem som bär ansvar innan, det går inte heller att avtala bort sitt ansvar.

Rättsfall från hela EU kommer påverka hur lagen ska tolkas och det kommer dröja innan det är på plats. Först kommer massor med fall att prövas och en del av domarna kommer att överklagas. Det kommer ta flera år innan allt är utrett.

– Vi vet dock att sanktionsavgifterna kan ges till både den som behandlar personuppgifter, personuppgiftsansvarig, ett företag och den som behandlar på uppdrag av någon annan, personuppgiftsbiträde. I vissa fall kan  båda drabbas av sanktionsavgifter. Skadestånd till de registrerade kan fördelas solidariskt ifall inte någon part kan bevisa att de inte bär ansvar för den felaktiga behandlingen, säger Martin Brinnen.

Personuppgiftsbehandlingen

När personuppgiftsbehandlingen sker i flera EU-länder är det viktigt att ha koll på vilken tillsynsmyndighet man ska vända sig. Det är inte säkert att det är Datainspektionen som är den ansvariga tillsynsmyndigheten om det t.ex. är dotterbolaget i ett annat EU-land som är den som bestämmer över personuppgiftsbehandlingen. 

För att göra rätt är det alltså viktigt att hålla koll på de personuppgifter som man behandlar, bl.a. vilka uppgifter som behandlas, med vilket rättsligt stöd och om man behandlar känsliga personuppgifter., jämför om både det egna företagets och biträdets bedömning. Det är bättre att vara på säkra sidan. Framöver kommer det att upprättas olika uppförandekoder och certifieringar så att det ska bli lättare att välja ett tillförligt företag som man vill lägga ut sin datahantering på.

Lagen kommer att innebära ett större säkerhetstänk över lag vilket är välkommet.

– Lagen kommer att innebära ett större säkerhetstänk över lag vilket är välkommet. Det är viktigt att vidta förebyggande åtgärder i stället för att vänta till en fel uppstår eller upptäcks. Med den ökade uppmärksamheten kring frågorna samt införandet av avgifter gör att fler blir motiverade till att förbättra sin personuppgiftshantering, säger Martin Brinnen.

Foto: Privat