PUL ersätts av GDPR den 25 maj 2018

Som de flesta noterat kommer personuppgiftslagen (PUL) att ersättas av dataskyddsförordningen (”General Data Protection Regulation” – GDPR)[1]. Under våren avser Regeringen också att tillföra Datainspektionen 30 miljoner för att stärka arbetet med den personliga integriteten. Myndigheten blir central tillsynsmyndighet och kommer byta namn till Integritetsskyddsmyndigheten och ges i uppdrag att ”agera stödjande och rådgivande för att tjänster som ökar medborgarnas livskvalitet kan fortsätta utvecklas och användas samtidigt som den personliga integriteten värnas”. Som tillsynsmyndighet har man rätt att vidta ett antal åtgärder vid brott mot GDPR och i värsta fall utfärda sanktionsavgifter (böter) på upp till 20 MEUR eller 4 % av företagets globala omsättning.

Skyddets omfattning

GDPR tillhandahåller endast skydd för fysiska personer, inte behandlingen av data rörande juridiska personer. I korthet är personuppgifter (Personal Data) all slags information som kan knytas till en individ som är i livet. Behandling av personuppgifter av fysiska personer uteslutande som en privat eller hushållsaktivitet är undantaget men den som tillhandahåller medlen för denna behandling omfattas.

Det är en personuppgift om någon kan avkryptera och se vem människan bakom är. Anonymisering är när ingen kan se vem som är bakom uppgifterna (jmf ”pseudonymisering”).

All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen omfattas.

Endast viss behandling av personuppgifter laglig

Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

  1. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
  2. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
  3. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
  4. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
  5. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
  6. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Enligt GDPR är samtycke ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”. Utmaningen med insamlande och behandling enligt samtycke är att det kan återkallas och då måste företaget radera personuppgifterna. Värt att notera är att det ska vara ska vara lika lätt att återkalla sitt samtycke som det var att ge det.

Som exempel på avtal brukar nämnas anställningsavtal, kundavtal och leverantörsavtal om de innebär att företag måste registrera och hantera personuppgifter. Man får dock inte samla in och behandla alla uppgifter man kan komma åt utan bara de som behövs för att uppfylla avtalet.

I vissa fall har företaget en skyldighet (en rättslig förpliktelse) att samla in personuppgifter t.ex. enligt bokföringslagen men även här endast i den omfattning som behövs för att uppfylla sina skyldigheter.

Vad gäller möjligheten att lagligen hantera personuppgifter efter en så kallad intresseavvägning finns det en sådant men det krävs att företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv. CRM-register torde för närvarande (under nuvarande PUL) vara acceptabla men det är osäkert hur det kommer att betraktas under GDPR. Om man vill samla in uppgifter om t.ex. affärskontakternas intressen så bör noga överväga hur det ska gå till och om ett medgivande kanske krävs. Direktreklam till någon som sagt nej är inte tillåtet.

När man samlar in personuppgifter måste man informera den fysiska personen om detta. GDPR innehåller en ganska omfattande beskrivning över vilken information som man måste ge men i korthet handlar det om att tala om att man samlar in personuppgifter, vilka personuppgifter som samlas in och varför man samlar in personuppgifterna. Om man avser att lämna personuppgifterna vidare till andra måste man tydligt informera även om detta.

Av ovanstående förstår man att de som samlar in och ska behandla personuppgifter bör vidta åtgärder för att följa den nya dataskyddsförordningen kräver annars kan det bli mycket kostsamt. Alla företag (och andra organisationer) är enligt förordningen skyldiga att ha ett register som beskriver de olika sätt som man hanterar personuppgifter på. Man måste också ha en tydlig gallringspolicy och -rutin m.m. samt anmäla incidenter vilket kanske inte de flesta tänkt på tidigare.

För den som behandlar personuppgifter för ett annat företag/en annan organisation gäller att se till att ha ett mycket tydligt avtal på plats där ansvaret är uttryckligen reglerat.

Mats Lekman
Advokat, Advokatfirman Nova

[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).