Dag Wetterberg intervjuas av BOKUS

 


GDPR träder i kraft i maj 2018 - advokat Dag Wetterberg svarar på BOKUS frågor

1. Vad är den primära största skillnaden med den nya lagen jämfört med tidigare?
För en organisation (alltså ett företag, en myndighet eller en ideell organisation) som anpassat sin verksamhet till personuppgiftslagens bestämmelser är det inte så stora förändringar eftersom många av förändringarna, i förhållande till personuppgiftslagen, är på marginalen. Två stora förändringar är den personuppgiftsansvariges utökade skyldighet att informera den registrerade om hur hens personuppgifter behandlas samt sanktionsavgifterna. GDPR:s kombination av höga sanktionsavgifter och en förordning som är svår att tolka är utmanande för de organisationer som ska tillämpa den.

2. Vad är en personuppgift?
En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, till exempel med en identifierare som ett namn, ett personnummer, en lokaliseringsuppgift eller onlineidentifikator eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, biometriska, psykiska, ekonomiska, kulturella eller sociala identitet. Begreppet personuppgift är brett och innefattar både text, bild och ljud.

3. GDPR är den nya Dataskyddsförordningen, korrekt? Men vi talar om den som den nya personuppgiftslagen. På vilket sätt går de två lagarna in i varandra och vilken av dem väger tyngst i de fall som båda berörs?
Personuppgiftslagen vilar på ett direktiv, Dataskyddsdirektivet, som ledde till en svensk lagstiftning 1998, Personuppgiftslagen. Denna lag upphör att gälla den 25 maj i år. När GDPR blir lag fr.o.m. den 25 maj 2018 är den stora skillnaden att den blir en harmoniserad lag i alla EU:s medlemsstater samtidigt.

4. Så GDPR ersätter gamla PUL?
Ja.

5. Vad händer som företag om man misslyckas med att följa den nya förordningen?
Eftersom det inte finns någon rättspraxis ännu så vet vi inte exakt vad som kommer att hända. Vi vet dock att en organisation som struntar i GDPR riskerar att drabbas av höga sanktionsavgifter på upp till 20 000 000 euro eller 4 % av organisationens globala årsomsättning om denna skulle vara högre.

6. Vad menas med samtycke i praktiken? "Räcker det" att en person en gång har godkänt ett företags villkor? Eller krävs nya godkännanden efter maj 2018 från redan befintliga kunder?
Ett samtycke utgör endast en av sex olika lagliga grunder för att få behandla personuppgifter. Samtycket ska vara frivilligt och lättbegripligt för den registrerade (kunden) och får inte vara för brett. Vissa organisationer kan behöva se över hur de utformat sina samtycken i samband med övergången till GDPR. Om man har ett avtal med en kund kan det utgöra en annan stabilare och långsiktigare grund för att få behandla personuppgifter eftersom ett samtycke alltid kan återkallas av den registrerade (alltså kunden).

7. Finns det olika restriktioner beroende på storlek av företag?
Nej, det gör det inte. Däremot förväntas Datainspektionen komma med uppförandekoder till s k mikroföretag vilket ska hjälpa dem i deras arbete med att införliva Dataskyddsförordningen i sin verksamhet. Tyvärr kommer dessa uppförandekoder först efter den 25 maj 2018 (se bl.a. skäl 98 i förordningstexten).

8. Innebär den nya lagen att färre telefonförsäljare kommer ringa? (Med tanke på att man sällan godkänt att de ska få tillgång till ens telefonnummer? Och anses ett telefonnummer vara en personuppgift?)
Ha ha, ja vi får väl se! Ett telefonnummer är en personuppgift och den ska därför behandlas utifrån GDPR:s rigorösa regelverk. En intressant sak med GDPR är att direktmarknadsföring anses utgöra ett berättigat intresse (alltså en av de sex lagliga grunderna) vilket framgår i skäl 47, sista meningen: Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse. Denna grund är dock fragil och den organisation som gör direktmarknadsföring på denna lagliga grund ska veta att kunden (den registrerade) har rätt att avböja fortsatta erbjudanden med omedelbar verkan.

9. Kommer man som privatperson uppleva någon skillnad i det vardagliga livet efter att lagen införs? Om ja, på vilket sätt?
Det återstår att se. Enligt min bedömning kommer en implementering av GDPR i en organisation vara förknippat med en kvalitetsstämpel. Det innebär att organisationer som är skickliga på att hantera GDPR kommer att få ett högre kundvärde eftersom kunderna i högre grad kommer att lita på organisation. Detta bör genera fler affärer och långsiktigare affärsrelationer enligt min mening.

10. Sist men inte minst - vilka är dina bästa tips i samband med den nya lagen? (gärna både till företag och privatpersoner)
Stay cool. Gör hemläxan och se detta som en nyttig genomgång av er organisations hantering av personuppgifter. Om detta görs på rätt sätt kommer er organisation få en bättre och tydligare hantering av integritetsfrågorna vilket i en förlängning kommer att leda till långsiktigare affärsrelationer och bättre affärer. Om en organisation väljer strunta i GDPR är det en risk att det blir en konkurrensnackdel i förhållande till de organisationer som införlivar inbyggt dataskydd och ett transparent och kunnigt förhållningssätt till sina kunder. När det gäller privatpersoner är det bara att gratulera dem eftersom de som EU-medborgare får världens bästa skydd för sin personliga integritet.