I fokusNya EU-regler stärker skyddet av personuppgifter

Höga bötesbelopp – upp till fyra procent av den globala omsättningen – hotar företag som bryter mot EU:s nya regler om behandling av personuppgifter. "Det här är en omvälvande förändring av reglerna som omfattar alla företag inom EU, liksom företag i resten av världen som säljer varor och tjänster till personer bosatta inom EU", kommenterar Erica Wiking Häger, ordförande för Mannheimer Swartlings verksamhetsgrupp Corporate Sustainability and Risk Management.

Den svenska personuppgiftslagen, PuL, bygger på det så kallade dataskyddsdirektivet från 1995. PuL har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. I takt med den ökade globaliseringen och digitaliseringen – inte minst utvecklingen av sociala medier och andra internetrelaterade tjänster – har företags användning av personuppgifter ökat i en explosionsartad takt.

Mot denna bakgrund har EU arbetat fram ett uppdaterat regelverk för dataskydd. I december 2015 enades EU:s båda beslutande organ, ministerrådet och parlamentet, om de nya reglerna. De nya reglerna kommer att gälla direkt som lag i hela unionen. De nya reglerna innebär ett ökat skydd för den enskilda individen samtidigt som det ställs väsentligt hårdare krav på alla företag som hanterar personuppgifter.

Under våren 2016 röstades förordningen igenom och den kommer att börja tillämpas i maj 2018.

– Utvecklingen när det gäller personuppgifter har gått så långt att det var läge att skärpa lagen. Vissa kanske tycker att 2018 låter långt borta, men de nya reglerna är så omvälvande att företagen redan nu måste börja förbereda sig, säger Erica Wiking Häger, som har arbetat med olika aspekter av reglerna kring behandling av personuppgifter i över 15 år.

– Tidigare var det värsta som kunde hända att ett företag blev uthängt i media – men nu kommer det även att kunna bli mycket kännbara böter, fortsätter hon.

Globala överföringar av personuppgifter – en särskild utmaning

Enligt Erica Wiking Häger måste företag säkerställa att personuppgifter som skickas till länder utanför EU får samma skydd som om de hade behandlats inom EU. Detta innebär en särskild utmaning för multinationella företag där exempelvis HR-information lagras i globala system. I USA har tidigare de så kallade Safe Harbor-principerna gällt. Det var en samling frivilliga regler om personlig integritet och dataskydd som hade tagits fram och beslutats av USA:s handelsdepartement. EU-kommissionen har tidigare bedömt att reglerna ger en adekvat skyddsnivå och med stöd av den bedömningen har det tidigare varit tillåtet att föra över personuppgifter från EU/ EES till organisationer i USA som har anslutit sig till Safe Harbor. Men under hösten 2015 ogiltigförklarade EU-domstolen kommissionens beslut. Det innebär att överföringar av personuppgifter till USA som nu sker med stöd av EU-kommissionens beslut om Safe Harbor är olagliga. EU och USA har nu förhandlat fram ett nytt regelverk – EU-U.S. Privacy Shield, som ska ge ett starkare skydd för européer när deras personuppgifter hanteras av amerikanska företag. Bland annat har USA lovat att införa tydligare regler för när amerikanska myndigheter ska ha rätt att få tillgång till européers personuppgifter när de lagras hos amerikanska IT-leverantörer. Sedan EU-US Privacy Shield antogs har omkring 200 amerikanska företag anslutit sig.

– Vi lever i en alltmer digitaliserad värld där information om till exempel var vi befinner oss och vad vi gör lagras av allt från bilen vi kör, till köpcentrumet där vi shoppar. Sådan information lagras ofta i molnet – vilket kan innebära att informationen lagras på många olika platser på jordklotet. För att företagen inte ska bryta mot reglerna om tredjelandsöverföringar måste de sätta sig in i reglerna och se över alla sina interna rutiner för personuppgiftsbehandling, säger Erica Wiking Häger.

– Allt fler multinationella bolag börjar också förbereda införandet av så kallade binding corporate rules (BCR) som är företagsinterna regler för globala överföringar av personuppgifter inom en koncern, fortsätter Erica.

– Vi lever i en alltmer digitaliserad värld där information om till exempel var vi befinner oss och vad vi gör lagras av allt från bilen vi kör, till köpcentrumet där vi shoppar. Sådan information lagras ofta i molnet – vilket kan innebära att informationen lagras på många olika platser på jordklotet. För att företagen inte ska bryta mot reglerna om tredjelandsöverföringar måste de sätta sig in i reglerna och se över alla sina interna rutiner för personuppgiftsbehandling, säger Erica Wiking Häger.

– Allt fler multinationella bolag börjar också förbereda införandet av så kallade binding corporate rules (BCR) som är företagsinterna regler för globala överföringar av personuppgifter inom en koncern, fortsätter Erica.

Några av punkterna i de nya bestämmelserna:

• När ett företag blir hackat ska händelsen anmälas till Datainspektionen inom 72 timmar. Myndigheten ska upprätta en offentlig lista över alla anmälningar som gjorts och av vem.

• Alla företag måste göra en risk- och sårbarhetsanalys innan de behandlar personuppgifter. Nya IT-system ska utformas med inbyggt skydd för den personliga integriteten (privacy by design).

• Rätten att ”bli bortglömd” stärks. Under vissa omständigheter måste företag på begäran av en person radera dennes uppgifter.

• De företag som har personuppgiftsbehandling som huvudsaklig verksamhet måste utse ett personuppgiftsombud.

• Så kallad dataportabilitet innebär att det på ett enkelt sätt ska gå att kopiera personuppgifterna och flytta dem. Man ska till exempel ha rätt att överföra dem från ett socialt medium till ett annat.

• Alla företag behöver kartlägga sina risker och inrätta särskilda complianceprogram för sin hantering av personuppgifter.