Vår tids användning av teknik har gjort det enkelt att samla in, lagra, dela och använda information och personuppgifter på ett sätt som medför stora ekonomiska fördelar för företag och andra organisationer. Samtidigt som vårt beteende kring användning av teknik förändras är det viktigt att skyddet för den personliga integriteten upprätthålls.

EU har sedan 2012 arbetat med att anpassa det nuvarande dataskyddsdirektivet till den tekniska utvecklingen. EU:s dataskyddsarbete resulterade i en förordning som den 25 maj 2018 kommer att ersätta nuvarande dataskyddsdirektiv. Parlamentären Jan Philipp Albrecht kommentar till förordningen ”YEAH!! The EU protects my data I’m in control again” sammanfattar förordningens syfte bra.

För medlemsstaterna innebär det att nationell lagstiftning om personuppgiftsbehandling ersätts av dataskyddsförordningens bestämmelser. På så vis behöver företag bara förhålla sig till ett regelverk kring personuppgiftsbehandling när de verkar inom EU.

Vilka praktiska förändringar kan vi vänta oss?

Förordningen bygger på nuvarande dataskyddsdirektiv vilket innebär att många av förordningens bestämmelser redan finns i dag. I Sverige återfinner vi reglerna i personuppgiftslagen.

Förordningen fokuserar på att stärka rättigheterna för den enskilda individen och skydda dennes personuppgifter. Förenklat sagt anger förordningen när, hur, var, och vilka åtgärder som måste vidtas för att en enskilds personuppgifter ska få behandlas.

Höga sanktionsavgifter

Ansvaret att följa förordningens bestämmelser åläggs givetvis den som behandlar personuppgifter, det vill säga företag, myndigheter och andra organisationer. Behandlas personuppgifter på ett annat sätt än vad förordningen anger ska tillsynsmyndigheten döma ut en sanktionsuppgift på upp till 20 miljoner euro.

Utökad informationsskyldighet

En av de viktigare skyldigheterna är att informera den vars uppgifter som behandlas om behandlingen. Informationen ska vara specifik, tydlig och koncis. Tanken är att de som behandlar personuppgifter ska göra det med öppenhet.

Andra utökande rättigheter

De enskilda har rätt att kräva tillgång till alla sina uppgifter, ett så kallat registerutdrag. En nyhet i förordningen är rätten till ”dataportabilitet”, vilket ska göra det enklare för enskilda att flytta sina uppgifter från exempelvis ett socialt nätverk till ett annat. Vidare kan de ha en rätt att bli glömd, det vill säga att dennes uppgifter raderas.

Tekniska och organisatoriska skyddsåtgärder

Förordningen ställer krav på att personuppgifter som behandlas skyddas på ett bra sätt. Ansvaret innebär bland annat att tillse att de IT-system som används inte innebär integritetsrisker. I praktiken är det viktigt att arbeta med frågor som behörighetsbegränsningar, rutinbeskrivningar, autentisering, brandväggar, kryptering, pseudonymisering, gallring av uppgifter med mera.

EU:s pågående projekt; Digital Single Market

Förutom att dataskyddsförordningen syftar till att skydda enskilda personuppgifter och se till att uppgifterna inte missbrukas avser de öka konsumenters förtroende för e-handel. Dataskyddsförordningen är en av flera åtgärder som vidtas av EU i syfte att skapa en gemensam digital marknad.

Ytterligare planerade åtgärder inom ramen för projektet är, ”Roam like at Home” som innebär att det inte ska kosta extra att surfa i andra EU-länder, uppdatering av distanshandelslagstiftning i syfte att harmonisera bestämmelserna mellan medlemsstaterna, samt ett digitalt och gemensamt centrum för rättstillämpning.

Vill du veta mer om e-handelsrätt och personuppgiftsbehandling? Kontakta oss på Alektum Group Legal så hjälper vi dig!