GDPR och annat om personlig integritet som man bör tänka på

Transkript

1 GDPR och annat om personlig integritet som man bör tänka på 14 mars 2018 Monique Wadsted, Maria Erlandsson & Cecilia Lindström MAQS Advokatbyrå

2 Agenda GDPR Vad är GDPR Centrala begrepp Krav på behandling av personuppgifter Enskildes rättigheter Undantag för journalistiska ändamål m.m. Närliggande områden Marknadsföring och GDPR Direktmarknadsföring Lagen om namn och bild i reklam Cookies Frågor?

3 Vad är GDPR? EU-förordning som träder i kraft 25 maj 2018 Ersätter personuppgiftslagen (PuL) Kompletteras av svensk dataskyddslag och annan lagstiftning Datainspektionen är tillsynsmyndighet (Integritetsskyddsmyndigheten) Syfte: skydda personlig integritet Ställer krav på bl.a. hur, var, varför, hur länge och av vem som personuppgifter får behandlas.

4 Viktigaste skillnaderna Personuppgiftslagen och GDPR är innehållsmässigt lika Dock 3 väsentliga förändringar som påverkar 1. Samtycke kan inte användas med samma lättsamhet - komplicerat 2. Missbruksregeln försvinner 3. Sanktionsavgifter införs (max 20 miljoner euro eller 4 % av globala årsomsättning) Dessa tre delar har man tidigare kunnat gömma sig bakom Nu krävs ordning och reda i personuppgiftsbehandlingen

5 Centrala begrepp Personuppgifter Alla uppgifter som direkt, eller indirekt, kan identifiera en fysisk person som är i livet Exempel: namn, adress, e-post, tel.nr, reg.nr, IP-adress, bild, hälsodata, köphistorik och intressen. I princip varje åtgärd med personuppgifter Behandling Exempel: insamling, registrering, lagring, användning, spridning och radering. Exempel: innehav av e-postadresser

6 Centrala begrepp Personuppgiftsansvarig Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Dataskyddsombud Person i verksamheten som självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. 6

7 Krav på behandling av personuppgifter Grundläggande krav med integritet i fokus: Endast behandla för ett/flera berättigade ändamål - Exempel: Ni behöver behandla personuppgifter för att leverera en produkt ni har sålt Endast personuppgifter som behövs för ändamålet - Exempel: För att leverera varan behövs namn och adress, men inte kundens personnummer eller kundens fritidsintressen även om de är bra att ha. Endast så länge det är nödvändigt med hänsyn till ändamålet - Exempel: När varan är levererad och fakturan betald ska personuppgifterna som huvudregel tas bort. Upprätta gallringsrutin. Ni måste ha rättslig grund för behandlingen - Exempel: fullgöra avtalet med kunden - Finns flera rättsliga grunder: samtycke (höga krav), avtal, rättslig förpliktelse, skydda intressen av grundläggande betydelse, uppgift av allmänt intresse eller myndighetsutövning, intresseavvägning.

8 Krav på behandling av personuppgifter Informera om hur personuppgifterna kommer att behandlas - Hur/var/hur länge/av vem m.m. - Innan insamling sker - Praktisk lösning: länk till personuppgiftspolicy på webbplats, i e-postsignatur eller liknande Skydda personuppgifterna - Motverka obehörig åtkomst genom lösenord, begränsad tillgång, kryptering m.m. - Känsliga personuppgifter (om t.ex. hälsa, religiös eller facklig tillhörighet, politiska åsikter eller etniskt ursprung) kräver extra hänsyn och säkerhet - Personnummer bara om nödvändigt Överför ni personuppgifter utanför EES? - Exempelvis server i USA särskilda krav på adekvat skyddsnivå Måste ingå biträdesavtal om ni använder er av personuppgiftsbiträden - Utan avtal ökar risken för sanktionsavgifter

9 Den enskildes rättigheter, i korthet Rätt till tillgång till sina personuppgifter Rätt till rättelse och begränsning Rätt till dataportabilitet (i vissa fall) Rätt att inte bli utsatt för automatiserat beslutsfattande inkl. profilering (i vissa fall) Rätt till radering (i vissa fall) Praktiska lösningar System för att identifiera, extrahera, flytta och radera personuppgifter Utse kontaktperson i vissa fall krävs dataskyddsombud

10 Undantag för journalistiska ändamål GDPR kommer att kompletteras av den föreslagna svenska dataskyddslagen (ännu ej antagen) Förslaget: 7 dataskyddslagen reglerar förhållandet till TF och YGL TF och YGL har företräde framför GDPR och dataskyddslagen Art och art i GDPR gäller inte när personuppgifter behandlas för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Med andra ord: i princip inga av de krav i GPDR som vi har gått igenom gäller (t.ex. laglig grund, informationsskyldighet, biträdesavtal, den enskildes rättigheter).

11 Marknadsföring och GDPR När blir personuppgiftshantering aktuellt vid marknadsföring? När ni behandlar personuppgifter för att kunna kontakta privatpersoner med marknadsföring. Alltså bl.a. när ni skickar nyhetsbrev, när ni ringer personer med erbjudanden, när ni riktar erbjudanden till personer på olika sociala medier m.m. Big Data, personuppgifter som en handelsvara, och GDPR.

12 Marknadsföring och annan lagstiftning Inte tillräckligt att man följer reglerna i GDPR Marknadsföringslagens krav Direktmarknadsföring och obeställd reklam Lagen om namn och bild i reklam

13 Direktmarknadsföring När företag kontaktar en privatperson direkt med marknadsföring t.ex. via e-post, sms, telefon etc. Överträdelser mycket vanliga men kan leda till förbud, skadestånd, viten och marknadstörningsavgifter. Vad gäller då? Kräver normalt samtycke. Undantag för befintliga kunder om erbjudandena avser näringsidkarens, egna, likartade produkter och kunden har möjlighet att motsätta sig sådan marknadsföring. Opt-in och Opt-out. Förbud mot att kontakta någon som har motsatt sig direktmarknadsföring. Tänk på att ni inte kan köpa eller hyra personuppgifter och använda dessa för direktmarknadsföring utan att ha ett samtycke från personen ifråga.

14 Lagen om namn och bild i reklam Krävs samtycke för att vid marknadsföring få använda någons namn eller bild Straffrättsligt sanktionerat (böter och skadestånd till den enskilda)

15 Vad säger GDPR? Vad säger GDPR om marknadsföring? Inte särreglerat ett syfte som alla andra syften med behandling av personuppgifter Laglig grund för marknadsföring hur ska man motivera att man vill behandla personuppgifter för marknadsföringsskäl? Intresseavvägning eller samtycke Gallringsrutiner

16 Cookies Varför dyker det alltid upp en banner så fort jag går in på en hemsida? Gammal lagstiftning, den s.k. cookielagen gäller. Kommer troligen ersättas under 2019 på grund av den s.k. E-privacy förordningen som förbereds inom EU.

17 Kontakt Monique Wadsted, Advokat Direkttelefon: Mobil: monique.wadsted@maqs.com Cecilia Lindström, Biträdande jurist Direkttelefon: Mobil: cecilia.lindstrom@maqs.com Maria Erlandsson, Biträdande jurist Direkttelefon: Mobil: maria.erlandsson@maqs.com