GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Transkript

1 GDPR de första månaderna Agnes Hammarstrand, IT-advokat och partner Advokatfirman

2 Nya dataskyddsförordningen-gdpr De nya reglerna trädde i kraft 25 maj 2018 Ersatte personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Varför? Skydda integriteten vid behandling av personuppgifter Risk för höga böter och andra sanktioner (upp till 4 % av koncernomsättningen) Datainspektionen är tillsynsmyndighet GDPR 2

3 GDPR 3

4 Inför 25 maj GDPR-panik? Många företag bröt mot PuL Många påbörjade arbetet med att förbereda sig inför GDPR sent Konsultboom. Nya GDPR-konsulter Mycket okunskap många myter om reglerna spreds Många företag genomförde stora GDPR-projekt Myten om 25 maj smäller det spreds GDPR 4

5 GDPR 5

6 Vad har hänt på Datainspektionen? Stor ökning på anmälningar sedan 25 maj anmälningar totalt (kan även röra kamera och inkasso) Många utredningar pågår Inledningsvis tillsyn över enkla och givna frågor 74 tillsynsärenden enligt GDPR har inletts Ännu inga beslut i sak Samt 28 tillsynsärenden enligt nya kamerabevakningslagen *Siffor från 4 september GDPR 6

7 Vad har hänt på Datainspektionen forts. Förändrad myndighet - nya uppdrag, nya uppgifter, nya funktionsgrupper Mer uppmärksammad myndighet Många frågor GDPR 7

8 Granskar dataskyddsombud Inledde ca 80 granskningar om dataskyddsombud Undersöker om företag och myndigheter som är skyldiga att utse ett så kallat dataskyddsombud har gjort det Omkring 80 myndigheter, företag och organisationer måste visa att man utsett de dataskyddsombud som lagen kräver Beräknas vara klara i september GDPR 8

9 Ny kamerabevakningslag Nya regler i maj och augusti 2018 Färre behöver söka tillstånd för kamerabevakning Privat verksamhet (om ej utför uppgift av allmänt intresse) behöver inte längre tillstånd GDPR:s regler är tillräckliga Istället krav på den som vill kamerabevaka att följa GDPR och kamerabevakningslagen Måste kunna motivera med rättslig grund enligt GDPR Normalt intresseavvägning krävs berättigat intresse Högre krav på att informera GDPR 9

10 Stort antal anmälningar om incidenter En personuppgiftsincident ska anmälas till Datainspektionen inom 72 timmar Stort antal incidenter har rapporterats, ca 960 Datainspektionen följer inte upp alla incidenter Uppgifter kan bli offentliga i hög utsträckning (ny vägledning efter dom från förvaltningsdomstolen) Tydligt hur viktigt god säkerhet och goda rutiner är för att slippa rapportera (med arbete och badwill som följd) GDPR 10

11 Vad händer på EU-nivå? Ny europeisk dataskyddsstyrelse (EDPB) Markant ökning av klagomål i hela EU Gränsöverskridande ärenden utreds av IMI (Internal Market Information System). Över 100 ärenden är under utredning EDPM har antagit flera av tidigare vägledningar såsom sina egna GDPR 11

12 Men det är så oklart. Finns det ingen vägledning? Jo, det finns ett stort antal vägledningar från EDPB Äldre rättspraxis i stora delar relevant Juridiska böcker, vägledningar och uppförandekoder ger grund för tolkning GDPR 12

13 Vi väntar på tolkning De allra flesta åtgärder ett företag behöver vidta är inte oklara Det är detaljer som är oklara kring när vissa behandlingar är olagliga Oklart exakt hur höga böterna kommer bli GDPR 13

14 Sanktioner Hur? Administrativa böter ska beroende på omständigheterna i det enskilda fallet åläggas utöver eller i stället för andra åtgärder Böterna ska vara effektiva, proportionella och avskräckande Harmoniserade bötesnivåer Hänsyn till ett antal faktorer, t.ex. Överträdelsens natur, svårighetsgrad och varaktighet De åtgärder som vidtagits för att lindra skada Graden samarbete med myndigheterna/egen anmälan Genomförda åtgärder GDPR 14

15 Hög risk Mellan risk Låg risk Dyrt/omständigt/affärsmässiga problem tolka lagen strikt Enkelt/billigt/fördelar tolka lagen strikt GDPR 15

16 Andra skäl att bry sig om lagen Media badwill Kunder och anställdas förtroende Viktigt för ett starkt varumärke när betydelsen av frågorna ökar Bra rutiner för GDPR ger ofta bra rutiner för dokumenthantering och ordning och reda, vilket har andra fördelar Säkring av personuppgifter till företaget skydd av företagshemligheter och givetvis en vilja att göra rätt GDPR 16

17 GDPR i korthet en stor mängd olika regler Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det Krav på rutiner Krav på juridisk dokumentation, policys och avtal Krav på dataskydd - informationssäkerhet GDPR 17

18 Förslag till nya eprivacy-regler Förslag till ny förordning om integritet och elektronisk kommunikation GDPRs systerlag som rör bl.a. Direktmarknadsföring Retargeting Metadata Hantering av cookies Skulle ha antagits den 25 maj 2018, men kraftigt försenat upp till två år säger vissa experter Risk för böter upp till 4 % av omsättningen GDPR 18

19 eprivacy: Nya regler för cookies Användarna ska få bättre kontroll över sina inställningar och ska enkelt kunna samtycka eller tacka nej till cookies Samtycke behövs inte om nödvändigt för tjänst som begärts, t.ex. onlinejänst, e-handla, spara varukorg; eller att mäta antalet webbplatsbesökare Ordentligt samtycke behövs dock för 3:e parts cookies Vid användning av Google Analytics, bannerreklam, spårnings- och trackingtjänster, m.m. Kan förändra företags marknadsföring online GDPR 19

20 Vilka tendenser ser vi just nu? Fler företag förstår att GDPR inte bara är ett projekt En hel del företag är inte klara med sitt GDPRprojekt Många har klätt bruden och gjort minsta möjliga och börjar nu med det riktiga GDPRarbetet Mycket arbete pågår nu med att sätta rutiner och processer för att följa lagen långsiktigt Vissa företag vaknar sent och inser först nu vad GDPR egentligen kräver GDPR 20

21 Agnes Hammarstrand / Partner, Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se GDPR 21

22 Årets advokatbyrå Delphi har som enda byrå och alla de senaste tre åren vunnit Regis årliga kvalitets- och branschstudie - Årets Advokatbyrå Regis undersökning är Sveriges största och enda oberoende klientstudie för advokatbyråer specialiserade på affärsjuridik Delphi är topprankade i flera internationella rankinginstitut, t.ex. Chambers och Legal 500 Agnes Hammarstrand blev 2018 framröstad till den advokat svenska advokater helst skulle anlita i ett affärsjuridiskt ärende (alla kategorier) Progressiv syn på juridik och ledarskap GDPR 22

23