Se VECKANS JURIDIK- intressant inslag om GDPR

 Hans Olof Lindblom (Datainspektionen) & Dag Wetterberg

Hans Olof Lindblom (Datainspektionen) & Dag Wetterberg

Det finns en konflikt mellan rätten till personlig frihet och rätten till integritetsskydd. Det anser advokaten Dag Wetterberg, som tror att den största utmaningen med GDPR är att man har lagt en ny lagstiftning på redan befintlig data. 

 

- När Datasyddsdirektivet kom och PUL blev lag så fanns ju inte Google, säger Dag Wetterberg i det senaste avsnittet av Veckans Juridik

- Det säger sig själv att den explosiva utvecklingen där andra har så mycket tillgång till våra uppgifter kräver någon form av reglering.

Enligt Dag Wetterberg är den största utmaningen med GDPR att lagstiftningen ska reglera redan befintlig data.

- Utmaningen med GDPR har ju varit att man lägger en lagstiftning på redan befintlig data, att man lägger en lagstiftning på ett område där folk är vana vid en viss frihet. 

Dag Wetterberg tror att det finns en typ av konflikt mellan rätten till viss frihet och rätten till integritetsskydd.

- Det uppstår en krock mellan friheten, journalistisk frihet, att skriva vad man vill och använda dessa uppgifter hur man vill, och på den andra bogen har du skyddet för integritet, säger Dag Wetterberg i Veckans Juridik

Datainspektionens första granskning klar- endast reprimander

Datainspektionen har undersökt om drygt 400 företag och myndigheter har utsett ett dataskyddsombud. Granskningen visar bland annat brister hos närmare en fjärdedel av de fackförbund som valts ut för kontroll.

[Klicka på texten om ni vill läsa DSO-granskningsrapporten]

Enligt dataskyddsförordningen, GDPR, är alla myndigheter och även vissa företag skyldiga att utse ett dataskyddsombud. Ombudet ska kontrollera att den egna organisationen följer bestämmelser och interna styrdokument om dataskyddsfrågor och informera och ge råd internt.

- Det är en väldigt viktig roll för att öka medvetenheten och regelefterlevnaden av GDPR, vilket är skälet till att vi prioriterat detta som vår första GDPR-granskning, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Datainspektionen har gjort en bred granskning av drygt 400 myndigheter och företag och undersökt om de utsett ett dataskyddsombud och om de dessutom meddelat detta till Datainspektionen, vilket de måste göra.

Granskningen visar att majoriteten av de granskade organisationerna har anmält och utsett ett dataskyddsombud i tid. Vissa branscher utmärker sig dock negativt. Av de 51 fackförbund som fanns med i urvalet hade närmare 25 procent brister.

- Eftersom det gått så pass kort tid efter att GDPR infördes den 25 maj, har vi stannat vid att utfärda reprimander. Men, skulle vi framöver konstatera fortsatta brister när det gäller dataskyddsombud så kan även administrativa sanktionsavgifter bli aktuella, säger Lena Lindgren Schelin.

____

WETTERBERG bevakar marknaden rörande GDPR, immaterialrätt och affärsjuridik.

Datainspektionen inleder fler granskningar

Datainspektionen drar nu igång flera större granskningar av olika delar av dataskyddsförordningen, bland annat vad gäller samtycke som rättslig grund för att samla in och behandla personuppgifter.

Datainspektionen drar under hösten igång flera större granskningar. Syftet med granskningarna är bland annat att skapa vägledning gällande de nya dataskyddsreglerna i bland annat dataskyddsförordningen, GDPR. Ett av projekten fokuserar på samtycke som rättslig grund för att samla in och använda personuppgifter.

- Samtycke är speciellt eftersom det måste lämnas frivilligt och det inte får finnas för stor ojämlikhet mellan den registrerade personen och den personuppgiftsansvarige, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

- Samtycken ska också kunna återkallas, vilket ställer stora krav på verksamhetsutövarna att ha strukturer och rutiner för detta. Vi har sett att samtycken ibland samlas in trots att behandlingen kan motiveras på annan grund. Här behövs vägledning, säger hon.

Ett annat projekt ska klargöra gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde.

- Många av dagens it-lösningar bygger på att ett biträde sköter driften åt den som är ansvarig för de personuppgifter som hanteras. Det finns flera frågor som rör gränsdragningen mellan dessa roller som är viktiga att utreda.

I ett tredje tillsynsprojekt fortsätter den granskning av dataskyddsombud som inleddes i juni. Efter den granskningen fann Datainspektionen anledning att även titta på den information som ska ges till de registrerade om vem som är dataskyddsombud och hur denne kan kontaktas.

____________________

WETTERBERG bevakar marknaden rörande GDPR, immaterialrätt och affärsjuridik.

Certifierad ledamot

Idag blev jag certifierad ledamot efter att ha genomgått kursen Rätt fokus i styrelsearbetet vilket har givit mig en möjlighet att bli en bättre styrelseledamot. Efter kursen görs ett prov som tar tre (3) timmar att utföra. Otroligt kul och spännande och många gånger svårare än jag trodde.

Rätt fokus i styrelsearbetet genomförs av StyrelseAkade­miens ackrediterade lärare, som alla har erkänt goda kun­skaper inom svensk bolagsstyrning samt egna erfarenheter av styrelsearbete. Varje år väljer därför mer än 1 000 styrelseledamöter i svenska bolag att gå denna branschledande utbildning som genomförs på ett 20-tal orter i hela landet.

StyrelseAkademien är den normgivande organisationen för professionellt styrelsearbete i Sverige varför jag är extra stolt idag!

___

Today, I passed the test - Focus on Board work - which has given me the opportunity to become a more professional board member.

Styrelseakademin is the most prestigious organization for learning professional board work in Sweden, why I am extra proud today!

181001 Certifikat Foto.jpg

JK ger fotograf rätt

WETTERBERG har glädjen att ta emot en uppsatspraktikant!

Under hösten 2018 har WETTERBERG glädjen att ta emot uppsatspraktikanten Sofia Sturesson.

Sofia är i slutet av juristutbildningen på Stockholms Universitet och skriver sin uppsats om Big Data och GDPR. 

Vi välkomnar Sofia och hoppas att hon ska trivas hos oss!

 

Skärmavbild 2018-09-05 kl. 14.24.23.png

GDPR - intressant dom rörande personuppgiftsincident

Bookings villkor otillåtna

Vi flyttar till Villagatan 19

Måndagen den 2 juli flyttar WETTERBERG till Wallquistska huset på Villagatan 19.

Byggnaden uppfördes 1880 efter Hjalmar och Axel Kumliens ritningar. och testamenterades till Kungliga tekniska högskolan (KTH) av professorn inom bergsvetenskap Gunnar Wallquist.

Vi har tagit hjälp av arkitekten Jonas Waldemarsson för att hitta en stil som vi tycker passar ihop med lokalens anda och känsla.

Välkomna gamla och nya klienter!

_______ 

Monday, July 2, WETTERBERG moves to Villagatan 19.

The building was built in 1880 after Hjalmar and Axel Kumliens drawings. and was awarded to the Royal Institute of Technology (KTH) by the professor of mountain science Gunnar Wallquist.

We have engaged the architect, Jonas Waldemarsson, to help us find a style that we think fits in with
the new premises.

We welcome old and new clients!

Skärmavbild 2018-07-01 kl. 17.18.33.png

EU-domstolen tolkar personuppgiftsansvar i sociala medier

Efter GDPR: EU-domstolen tolkar personuppgiftsansvar i sociala medier
 
Det har nog inte kunnat undgå många att EU:s allmänna dataskyddsförordning (även kallad ”GDPR”) trädde i kraft den 25 maj. Kort därefter, den 5 juni, föll EU-domstolens förhandsavgörande i mål C-210/16. Avgörandet gäller den tidigare personuppgiftsregleringen som nu ersatts av GDPR – men den praxis som bildas får följder för tillämpningen av den nya dataskyddslagstiftningen, då ett av begreppen som tolkats definieras likadant under GDPR som tidigare. 
 
Det handlar om begreppet ”personuppgiftsansvarig” och om vem som ska anses ha den rollen när det gäller en sida på den sociala medieplattformen Facebook. Företag och andra juridiska personer, även vissa myndigheter, använder ofta sådana sidor som en del i sin marknadsföring. 
 
Nu slår EU-domstolen fast att den som administrerar en sådan sida som regel har ett gemensamt ansvar med Facebook för behandling av personuppgifter som utförs som ett led i att driva sidan: ”Det faktum att en administratör för en fanpage använder den plattform som tillhandahålls av Facebook för att dra nytta av de till denna sammanhängande tjänsterna, innebär nämligen inte att denne kan undgå sina skyldigheter i fråga om skydd av personuppgifter.”
 
Exakt vad det gemensamma ansvaret ska betyda är inte hugget i sten, utan ska bedömas utifrån omständigheterna i det enskilda fallet. Att det finns ett gemensamt personuppgiftsansvar är något som:  ” …inte nödvändigtvis behöver innebära att de olika aktörer som medverkar vid behandlingen av personuppgifter har likvärdigt ansvar.”

 

Småföretagare hotas av miljonböter: ”Skrämmande”

WETTERBERG söker praktikant HT18

GDPR och journalistik/Seminarium den 2 maj

WETTERBERG medverkar i Studio 1 rörande GDPR och Facebook

Kul att få delta i en intressant diskussion rörande Facebook och GDPR samt implikationerna därav.

GÅ IN TILL [18] minuter om ni vill lyssna på inslaget-

Personuppgiftslagen vs GDPR - några centrala förändringar

1. Höga sanktionsavgifter

Sanktionsavgifter upp till 20 miljoner euro eller 4 procent av ett företags omsättning. Myndigheter kan få betala sanktionsavgifter på upp till 10 miljoner kronor.

2. Missbruksregeln försvinner

Regleringen om ostrukturerade personuppgifter och missbruksregeln (som är en svensk särreglering) försvinner vid införandet av dataskyddsförordningen.

3. Profilering

Det införs ett rigoröst regelverk för så kallad profilering. Detta införs för att skydda EU-medborgares integritet. Det blir helt enkelt svårare för organisationer att profilera sina kunder brett.

4. Nya principer

Öppenhet, integritet, konfidentialitet och ansvarsskyldighet. Exakt vad som ryms i dessa nya begrepp får en klarare betydelse efter införandet av dataskyddsförordningen då en ny rättspraxis bildas.

5. Ökad informationsskyldighet

Den personuppgiftsansvarige kommer att få en utökad informationsskyldighet då den som vill efterfråga uppgifter (den registrerade) kan göra det när hen vill. Den personuppgiftsansvarige måste lämna uppgifter inom en månad med en månads förlängning om den personuppgiftsansvarige kan visa ett tydligt behov. Om den registrerade begär utdrag elektroniskt ska hen även få informationen elektroniskt och kostnadsfritt. Den personuppgiftsansvarige ska kunna lämna information om de åtgärder som gjorts och ska ge klar, enkel och lättfattlig information samt underlätta den registrerades utövande av sina rättigheter.

6. Dataportabilitet

Regleringen om dataportabilitet tar bland annat sikte på sociala nätverk som Twitter, Facebook och Linkedin. Den registrerade har enligt denna reglering rätt att överföra sina personuppgifter från till exempel Twitter till Facebook. Denna reglering är inte begränsad till sociala nätverk, varför den kan gälla många personuppgiftsansvariga. 

Vem ansvarar för innehållet på en hemsida?

Dag Wetterberg intervjuas av BOKUS

 


GDPR träder i kraft i maj 2018 - advokat Dag Wetterberg svarar på BOKUS frågor

1. Vad är den primära största skillnaden med den nya lagen jämfört med tidigare?
För en organisation (alltså ett företag, en myndighet eller en ideell organisation) som anpassat sin verksamhet till personuppgiftslagens bestämmelser är det inte så stora förändringar eftersom många av förändringarna, i förhållande till personuppgiftslagen, är på marginalen. Två stora förändringar är den personuppgiftsansvariges utökade skyldighet att informera den registrerade om hur hens personuppgifter behandlas samt sanktionsavgifterna. GDPR:s kombination av höga sanktionsavgifter och en förordning som är svår att tolka är utmanande för de organisationer som ska tillämpa den.

2. Vad är en personuppgift?
En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, till exempel med en identifierare som ett namn, ett personnummer, en lokaliseringsuppgift eller onlineidentifikator eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, biometriska, psykiska, ekonomiska, kulturella eller sociala identitet. Begreppet personuppgift är brett och innefattar både text, bild och ljud.

3. GDPR är den nya Dataskyddsförordningen, korrekt? Men vi talar om den som den nya personuppgiftslagen. På vilket sätt går de två lagarna in i varandra och vilken av dem väger tyngst i de fall som båda berörs?
Personuppgiftslagen vilar på ett direktiv, Dataskyddsdirektivet, som ledde till en svensk lagstiftning 1998, Personuppgiftslagen. Denna lag upphör att gälla den 25 maj i år. När GDPR blir lag fr.o.m. den 25 maj 2018 är den stora skillnaden att den blir en harmoniserad lag i alla EU:s medlemsstater samtidigt.

4. Så GDPR ersätter gamla PUL?
Ja.

5. Vad händer som företag om man misslyckas med att följa den nya förordningen?
Eftersom det inte finns någon rättspraxis ännu så vet vi inte exakt vad som kommer att hända. Vi vet dock att en organisation som struntar i GDPR riskerar att drabbas av höga sanktionsavgifter på upp till 20 000 000 euro eller 4 % av organisationens globala årsomsättning om denna skulle vara högre.

6. Vad menas med samtycke i praktiken? "Räcker det" att en person en gång har godkänt ett företags villkor? Eller krävs nya godkännanden efter maj 2018 från redan befintliga kunder?
Ett samtycke utgör endast en av sex olika lagliga grunder för att få behandla personuppgifter. Samtycket ska vara frivilligt och lättbegripligt för den registrerade (kunden) och får inte vara för brett. Vissa organisationer kan behöva se över hur de utformat sina samtycken i samband med övergången till GDPR. Om man har ett avtal med en kund kan det utgöra en annan stabilare och långsiktigare grund för att få behandla personuppgifter eftersom ett samtycke alltid kan återkallas av den registrerade (alltså kunden).

7. Finns det olika restriktioner beroende på storlek av företag?
Nej, det gör det inte. Däremot förväntas Datainspektionen komma med uppförandekoder till s k mikroföretag vilket ska hjälpa dem i deras arbete med att införliva Dataskyddsförordningen i sin verksamhet. Tyvärr kommer dessa uppförandekoder först efter den 25 maj 2018 (se bl.a. skäl 98 i förordningstexten).

8. Innebär den nya lagen att färre telefonförsäljare kommer ringa? (Med tanke på att man sällan godkänt att de ska få tillgång till ens telefonnummer? Och anses ett telefonnummer vara en personuppgift?)
Ha ha, ja vi får väl se! Ett telefonnummer är en personuppgift och den ska därför behandlas utifrån GDPR:s rigorösa regelverk. En intressant sak med GDPR är att direktmarknadsföring anses utgöra ett berättigat intresse (alltså en av de sex lagliga grunderna) vilket framgår i skäl 47, sista meningen: Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse. Denna grund är dock fragil och den organisation som gör direktmarknadsföring på denna lagliga grund ska veta att kunden (den registrerade) har rätt att avböja fortsatta erbjudanden med omedelbar verkan.

9. Kommer man som privatperson uppleva någon skillnad i det vardagliga livet efter att lagen införs? Om ja, på vilket sätt?
Det återstår att se. Enligt min bedömning kommer en implementering av GDPR i en organisation vara förknippat med en kvalitetsstämpel. Det innebär att organisationer som är skickliga på att hantera GDPR kommer att få ett högre kundvärde eftersom kunderna i högre grad kommer att lita på organisation. Detta bör genera fler affärer och långsiktigare affärsrelationer enligt min mening.

10. Sist men inte minst - vilka är dina bästa tips i samband med den nya lagen? (gärna både till företag och privatpersoner)
Stay cool. Gör hemläxan och se detta som en nyttig genomgång av er organisations hantering av personuppgifter. Om detta görs på rätt sätt kommer er organisation få en bättre och tydligare hantering av integritetsfrågorna vilket i en förlängning kommer att leda till långsiktigare affärsrelationer och bättre affärer. Om en organisation väljer strunta i GDPR är det en risk att det blir en konkurrensnackdel i förhållande till de organisationer som införlivar inbyggt dataskydd och ett transparent och kunnigt förhållningssätt till sina kunder. När det gäller privatpersoner är det bara att gratulera dem eftersom de som EU-medborgare får världens bästa skydd för sin personliga integritet.