Den nya Dataskyddsförordningen
– hur och vad kommer den att påverka?
Den 14 april 2016 godkände Europaparlamentet den nya Dataskyddsförordningen. Detta innebär i praktiken att den nya förordningen kommer att träda i kraft om ca två år och alltså ersätta dagens personuppgiftslag.
Personuppgiftslagen (PUL) har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas, t ex i samband med att kunders adressuppgifter lagras i företagsägda databaser.
Den oadresserade direktreklamen berörs inte av den nya förordningen, men eftersom många av våra kunder även lagrar kunddata i kundregister, vill vi sprida lite ljus över vad som har beslutats.
Den svenska regeringen har nu beslutat att tillsätta en utredning som ska föreslå hur den centrala svenska lagstiftningen på området bäst anpassas till den nya förordningen. Resultatet av detta får vi vänta på.
Här följer några sammanfattande slutsatser:
Inget opt-in:
- Den överenskomna formuleringen om samtycke liknar den som finns idag. Därmed undviker man utvecklingen av systematiska strikta opt-in-lösningar.
- Företagare bör kunna hålla en viss flexibilitet i hur man samlar in medgivande. Samtidigt kommer man att ställa högre krav på att individen informerats på ett korrekt sätt.
- Informationen om vad man vill göra med personuppgifterna ska presenteras separat och med ett lättförståeligt språk.
- Om man gör det obligatorisk för individen att lämna ut sina personuppgifter, måste man använda sig av ett separat samtycke för all annan behandling än det som krävs för att leverera den överenskomna varan eller tjänsten. Du måste alltså ha ett separat samtycke för att få använda de insamlade uppgifterna för bland annat marknadsföring.
TOLKNING
Precis som idag måste företag även efter förändringen informera konsumenten om att personuppgifter lagras och kunden måste också ha samtyckt till att företaget får använda de insamlade uppgifterna för marknadsföring. Många löser informationsplikten idag med en text på de dokument eller de blanketter som används när kunden blir kund, dvs när data samlas in för att lagras.
Enligt tidigare utkast till förordningen skulle det vara obligatoriskt för bolag av en viss storlek att ha ett personuppgiftsombud. Det kommer dock inte att vara ett obligatoriskt krav utan respektive land ska i stället kunna införa egna krav på att det ska finnas personuppgiftsombud.
Personuppgiftsombudens roll stärks dock. Här kommer det sannolikt behövas utbildning och eventuellt omorganiseringar hos företag. Personuppgiftsombudet ska få tillräckliga resurser och insyn, de ska kunna utföra sitt uppdrag på ett självständigt och oberoende sätt och de ska rapportera till högsta ledningen.
Legitimt intresse (intresseavvägning) kvarstår:
- Det kommer fortfarande vara möjligt för företag att få tillgång till personuppgifter via det legitima intresset utan begränsningar till att det endast rör det egna företagets kunder.
- Företag måste tydligt klargöra för individen vars personuppgifter man samlar in, att uppgifterna kan komma att lämnas ut till andra.
TOLKNING
Precis som idag kommer företag kunna köpa adressuppgifter till konsumenter. Den part som säljer data måste ha informerat konsumenten innan att detta kan komma att ske.
Segmentering och selektering möjligt utan samtycke:
- Som tidigare finns inget krav på aktivt samtycke från kunden, men företag kommer att vara tvungna att på ett enklare och tydligare sätt informera om regler kring segmentering och selektering.
- Insamlande företag kommer även att vara tvungna att aktivt informera om möjligheten om att tacka nej till segmentering och selektering i marknadsföringssyfte.
TOLKNING
Här ökar informationsplikten och sannolikt kommer konsumenten kunna kräva att få mer information kring hur företaget hanterar personuppgifter, t ex hur de används i prediktiv analys. Även IP-adresser är att betrakta som personuppgifter. Det kan innebära att mediesajter måste inhämta tillstånd från besökarna för att få använda deras surfhistorik för att styra annonser.
Rätten att bli bortglömd:
- Individen kommer även i framtiden kunna kräva av ett företag att få bli raderad från dess register/databaser.
- Kravet slopas dock på företag som sålt uppgifter vidare. De är inte längre ansvariga för att de företag man sålt uppgifterna vidare till raderar uppgifterna.
TOLKNING
För enskilda personer kommer rättigheterna att stärkas, bland annat ställs strängare krav på att företag och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda individer ska i vissa situationer även kunna säga nej till att en myndighet eller ett bolag använder ens personuppgifter. Det kommer också ställas högre krav på system som lagrar personuppgifter, vilket sannolikt kräver investeringar.
Sanktionsavgift på upp till 20 miljoner euro:
- Dataskyddsmyndigheterna kommer att ha rätt att ta ut administrativa avgifter på upp till 4 procent av ett företags globala omsättning om man bryter mot förordningen.
TOLKNING
För bolag, myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav. Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, om incidenten är allvarlig. Det kan den vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.
Datainspektionen ska också kunna döma ut en "administrativ sanktionsavgift", en form av böter, på upp till 20 miljoner euro eller 4% av företagets globala omsättning, den summa som blir högst. Datainspektionen ska kunna döma ut det till företag som exempelvis inte lämnar information till registrerade, hanterar personuppgifter utan lagligt stöd, inte anmäler en säkerhetsincident till Datainspektionen eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder. Det kan med andra ord bli dyrt att inte följa eller förstå de nya reglerna.
(Källa: Axel Tandberg, SWEDMA)