Personuppgiftslagen (PUL) har varit i bruk sedan 1998. PUL skrevs utifrån ett EU-direktiv, men trots att övriga länder i unionen utgick från samma direktiv när de utformade sina lagar finns det ändå ett behov av harmonisering.  Dessutom har teknikutvecklingen gjort PUL omodern.

25 maj 2018 träder EU-förordningen GDPR i kraft.

Många av de grundläggande principerna i PUL finns kvar

- Många av de grundläggande principerna i PUL finns kvar, men vissa saker har kompletterats och förtydligats, säger Nicklas Thorgerzon, advokat på Vinge. Framför allt är det integritetsskyddet för privatpersoner som har stärkts. Till exempel har privatpersoner det som kallas för: right to be forgotten, rätten att få sina uppgifter raderade. Det ska också bli lättare att flytta över sin egen data från en leverantör till en annan. Även kraven på samtycke vid datainsamling är strängare.

En viktig skillnad

En viktig skillnad mellan PUL och GDPR rör outsourcing. Enligt PUL spelar det ingen roll om du outsourcar dina IT-system, det är ändå alltid du som ytterst bär ansvaret för att databehandlingen sker på rätt sätt. GDPR lägger däremot även ansvar på sourcingleverantören som måste följa vissa regler och kan annars drabbas av skadestånd eller sanktionsavgifter. Det faktum att även leverantörer kan hållas ansvariga är dock inte nödvändigtvis en förenkling.

- Det innebär att ansvarsfördelningen kan behöva regleras tydligare i avtalet, säger Nicklas Thorgerzon. Om inte reglerna uppfylls kan det annars många gånger vara svårt att avgöra vem det är som har brustit och vem som kan drabbas av ersättningsansvar.

Det kan krävas att personalen hos leverantören ska skriva på sekretessavtal.

Förordningen innehåller även krav på en rad bestämmelser som måste finnas med i ett outsourcingavtal, exempelvis måste det regleras hur leverantören får hantera personuppgifter och hur dessa ska skyddas. Det kan krävas att personalen hos leverantören ska skriva på sekretessavtal. Och om leverantören i sin tur använder underleverantörer så måste även den relationen regleras i outsourcingavtalet.

Rutiner och processer

- Som företag bör man vid en outsourcing till att börja med göra en noggrann analys av vilka personuppgifter man har, vad man använder dem till och vad förordningen säger om just denna hantering, säger Nicklas Thorgerzon. Det är en förutsättning för att kunna ställa korrekta krav på leverantören och det är även viktigt att formulera kraven tydligt.

Även rutiner och processer bör vara tydligt beskrivna i avtalet.

Även rutiner och processer bör vara tydligt beskrivna i avtalet. Det kan handla om säkerhetsrutiner och om hur ett dataintrång ska hanteras. Sker det en incident (exempelvis stöld av personuppgifter) ska detta anmälas till Datainspektionen inom 72 timmar. Det kan också handla om hur företagen ser till att olika funktioner, så som flytt eller radering av personuppgifter fungerar.

- Outsorcingleverantören måste kunna erbjuda lösningar och tekniska system som uppfyller kraven i förordningen, säger Nicklas Thorgerzon. Det kan förstås innebära en extra kostnad, men de som kan tillhandahålla adekvata tjänster kan även få en stor konkurrensfördel.

Det är viktigt att komma ihåg att även redan ingångna avtal måste ändras så att de uppfyller förordningen.

Ekonomisk risk att kringå reglerna

Att inte följa reglerna i förordningen kan innebära en stor ekonomisk risk. Brister dataskyddet hos företaget, eller hos leverantören, kan Datainspektionen besluta om sanktionsavgifter.

- Det kan bli rejäla summor, fyra procent av omsättningen eller tjugo miljoner euro, berättar Nicklas Thorgerzon. Dessutom kan enskilda personer ha rätt till skadestånd. Den ekonomiska risken gör att många företag bör lägga stor vikt vid att detta ska bli rätt.