Ett år med GDPR: “GDPR kräver ett kontinuerligt och systematiskt arbete”

Utökat ansvar, krav på dokumentation och kännbara sanktionsavgifter. Det var några av de viktigaste nyheterna när den nya dataskyddsförordningen började tillämpas i maj för ett år sedan.
– Arbetet tog inte slut den 25 maj 2018. Det är oerhört viktigt att företag har en systematisk process för fortsatt arbete. Arbetet med dataskydd är en kontinuerlig process och något företag måste ägna sig åt löpande, säger Mirja Ekdahl, advokat hos Gulliksson med specialisering inom bland annat dataskydds- och integritetsfrågor.

Dataskyddsförordningen (GDPR, The General Data Protection Regulation) trädde i kraft i hela EU med syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter.

– Även om mycket i dataskyddsförordningen liknar de regler som tidigare fanns i vår svenska personuppgiftslag blev det väldigt tydligt att företagen behövde se över och i många fall förbättra sina rutiner, säger Mirja Ekdahl som tillsammans med kollegor på Gulliksson bistod klienter med anpassningar för att säkerställa att verksamheten var redo och kunde leva upp till lagstiftningen.

– Under detta arbete såg vi även hur insikten om vikten av att skydda och respektera den personliga integriteten ökade, berättar Mirja Ekdahl och lyfter de frågor som var återkommande i rådgivningen: Vilka personuppgifter behandlas? Behandlas känsliga personuppgifter? Hur och på vilket sätt sker behandlingen? Grundas behandlingen på samtycke, avtal, berättigat intresse eller annan rättslig grund? Lämnas tillräcklig information vid insamlingen? Finns ett adekvat skydd för uppgifterna?

– Förutom att ta ett helhetsgrepp över personuppgiftsbehandlingen på företaget kunde det också röra sig om specifika detaljfrågor som om det är ok att skicka lönespecifikationer och annan känslig information via e-post, berättar Karin Strandberg, partner hos Gulliksson och specialiserad på bland annat  arbetsrätt.

GDPR ska efterlevas – rutiner och uppföljning krävs
Datainspektionen kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen ska betala en administrativ sanktionsavgift. Denna avgift kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För mindre allvarliga överträdelserna är maxbeloppet på 10 miljoner euro eller 2 procent av företagets globala årsomsättningen.

– En sanktionsavgift innebär dessutom mer än dessa pengar i sig, det ger en badwill för företaget. Även om Datainspektionen i nuläget ännu inte har beslutat om sanktionsavgifter så finns GDPR här och nu och ska efterlevas , säger Mirja Ekdahl.

Gulliksson erbjuder löpande stöd och rådgivning
Förutom att se över er personuppgiftsbehandling och ert dataskydd kan Gulliksson säkerställa att ni verkligen efterlever kraven samt upprätta rutiner och compliance-dokument. Välkommen att kontakta Gulliksson för ett förutsättningslöst möte kring fortsatt arbete med GDPR och just ert företags behov!

Mirja Ekdahl, Advokat, Malmö
070-513 13 70
mirja.ekdahl@gulliksson.se

Karin Strandberg, Partner, Malmö
070-819 06 52
karin.strandberg@gulliksson.se

Magnus Friberg, Partner, Lund
073-519 59 49
magnus.friberg@gulliksson.se

Ulrika Nordenvik, Advokat, Lund
070-203 61 00
ulrika.nordenvik@gulliksson.se

GDPR – några av de viktigaste förändringarna som trädde i kraft i maj 2018:

  • Utökat ansvar för såväl personuppgiftsansvariga som för personuppgiftsbiträden.
  • Krav på dokumentation över personuppgiftsbehandlingen – kunna visa att man gör rätt.
  • Stärkt ställning för den registrerade, däribland:
    -Utökade krav på att informera den registrerade om vilka uppgifter som behandlas om denne;
    – Förtydligade rättigheter för den registrerade ”att bli bortglömd” (d.v.s. rätt att få sina personuppgifter borttagna);
    – Rätt att få överföra sina registrerade uppgifter till annat företag – s.k. dataportabilitet; samt
    -tuffare krav för samtycke.
  • Nya krav på datasäkerhet – inbyggt dataskydd som standard. Bland annat infördes i vissa fall krav på konsekvensbedömning avseende dataskyddet och att utse dataskyddsombud. Personuppgiftsincidenter ska i vissa fall anmälas till Datainspektionen (inom 72 timmar).