GDPR skärpen kraven på alla företag som registerför personuppgifter. Arkivbild.
GDPR skärpen kraven på alla företag som registerför personuppgifter. Arkivbild.

Oro inför EU:s kommande datalagstiftning

I vår gäller ny lagstiftning för hur personuppgifter får hanteras. Syftet är att stärka privatpersoners integritetsskydd, men såväl företag som myndigheter är oroliga över konsekvenserna.

ANNONS
|

General Data Protection Regulation (GDPR), på svenska ”Allmänna dataskyddsförordningen”, är en ny EU-förordning som träder i kraft den 25 maj. Samtliga EU-länder får då en gemensam lagstiftning, som i grunden syftar till att ge bättre integritetsskydd åt privatpersoner.

- En stor del handlar om den registrerades rättigheter. Däriblandrätten till information, rätten till dataportabilitet och rätten till att bli raderad, säger Camilla Sparr, jurist vid Datainspektionen.

ANNONS

Det innebär att du som privatperson har rätt att få veta vilka uppgifter ett företag lagrar om dig. Du har också rätt att få dina uppgifter flyttade. Är du till exempel kund hos en musikströmningstjänst, men vill teckna abonnemang hos en annan leverantör, har du rätt att få dina sparade uppgifter flyttade till den nya tjänsten. Du har också rätt att kräva att den som registerför raderar uppgifter om dig.

- Men det är inte så att man alltid har rätt att bli raderad. Registerhållaren kan också ha en rättslig grund att ha uppgifterna kvar. Man kan till exempel inte gå till Skatteverket och säga ”nu vill jag att ni tar bort mina uppgifter, för jag vill inte längre betala skatt”. Så långt sträcker sig inte de rättigheterna, säger Camilla Sparr.

Kan bli dyrt

Företag, organisationer och myndigheter blir i och med GDPR skyldiga att föra en förteckning över vilka typer av uppgifter de behandlar, varför de gör det och enligt vilka rutiner. Om förordningen inte efterlevs kan man få dryga böter.

ANNONS

I vissa fall blir det nödvändigt att utse ett dataskyddsombud. För större resursstarka verksamheter behöver inte omställningen vara problematisk, värre är det för de små företagen.

- Man tycker det här är jättekrångligt, man inser att det är mycket arbete. Är man inte en så stor organisation så är det ledningsgruppen som måste ta tag i det. Det kan bli nödvändigt att anlita konsulter och det kostar pengar, säger jurist vid Karin Berggren vid intresseorganisationen Företagarna.

Oro hos polisen

Även polisen uttrycker oro över att konsekvenserna av lagen inte är fullt överblickbara.

- Det känns väldigt outrett vad det innebär för vår brottsbekämpande verksamhet. En av hörnstenarna i GDPR är rätten att bli glömd och det låter illavarslande eftersom polisen söker efter spår. säger Anders Ahlqvist, it-brottsexpert på polisens Nationella operativa avdelning.

Polisens farhågor är att kriminella ska begå brott och sedan begära att få uppgifter raderade som kan knyta dem till gärningen.

ANNONS

- Handlar det om ett företag som blivit utsatt för bedrägerier så kommer polisen begära att få data i form av loggar, faktureringsregister med mera, som är av intresse för förundersökningen. Är det så gärningsmannen kommit före och begärt att uppgifterna tas bort, vad händer då? undrar han.

Anders Ahlqvist har internt vänt sig till polisens rättsavdelning för svar.

- De har också ganska dimmiga begrepp. Man har utrett det här inom myndigheten, men då har man pratat om oss som registerhållare. Aspekten som gäller brottbekämpning är det ingen som har belyst.

TT

Fakta: Det här är GPDR

I Sverige ersätter GDPR (General Data Protection Regulation), på svenska ”Allmänna dataskyddsförordningen”, den 25 maj den nuvarande personuppgiftslagen (PUL). Lagen omfattar alla typer av verksamheter och instanser som samlar in och lagrar personuppgifter.

Mycket i GDPR liknar de regler som redan finns i PUL. Några nyheter är att den som läggs in i ett register, med vissa undantag, har rätt att:

- Få ta del av sina uppgifter

- Få sina uppgifter flyttade

- Få sina uppgifter raderade

Registerhållaren har en månad på sig att tillmötesgå en sådan begäran, men kan i vissa fall få en extra månad.

Om registerhållaren inte följer GDPR kan Datainspektionen utfärda böter på som mest 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst.

I och med att GDPR innebär att alla EU-medlemsländer får ett likvärdigt skydd för personuppgifter får sådan data överföras fritt mellan EU-länder. När det gäller länder utanför EU får överföring bara ske om säkerheten där är tillräckligt god.

Källa: Datainspektionen

ANNONS