Sara, varför har det varit sådan stor hajp kring denna nya lag egentligen?
– Hajpen började sig av att de administrativa avgifterna vid brott mot lagstiftningen är så stora, det handlade mycket om ren skräckpropaganda i början. Sedan har nog händelser i världen påverkat situationen, IT-säkerhetsfrågor hos Transportstyrelsen, Mark Zuckerberg som fick förklara hur Faceboook fungerar inför den amerikanska kongressen och diskussioner kring Google. Jag uppfattar det mycket mer som smart riskhantering nu, snarare än ett svar på hotet om mycket höga böter. Fokus har blivit IT-säkerhet och integritet, och GDPR är ett verktyg för att förbättra detta och därmed minska risker för företag och myndigheter, säger Sara.
Får man efter den 25 maj lämna vidare andras kontaktuppgifter hur som helst? Exempelvis om jag vill tipsa någon om en bra leverantör som jag har kontaktuppgifter till.
– Det klassiska jurist-svaret blir njae! Det kan du visst få göra, om du i din roll använder dig av en leverantör och en kontaktperson som du kan rekommendera och du skickar de uppgifterna till en annan person. Det kan vara ett berättigat intresse för dig och ditt företag att behandla uppgifterna på detta sätt. Din kontakt hos leverantören vill sannolikt ha nya kunder, och har ett begränsat intresse av att inte låta uppgifterna behandlas i detta sammanhanget. Behandlingen skulle därmed baseras på intresseavvägning och därmed vara tillåtet. Har du ett mindre berättigat intresse kan det dock vara en annan sak, om du sitter i din roll och av någon (i och för sig obegriplig) anledning skulle sprida personens telefonnummer som ett skämt, eller sprida skvaller om din kontakt eller något liknande, säger Sara.
Hur pass mycket påverkar den nya lagstiftningen gemene man och vad kan vara bra att ha i bakhuvudet?
– GDPR är en skyddslagstiftning, som skyddar oss individer. Den ställer krav på att de leverantörer av produkter och tjänster – och myndigheter som vi interagerar med av olika skäl – inte gör intrång i vår integritet och behandlar våra personuppgifter i onödan eller på ett felaktigt sätt. GDPR ställer också krav på säkerhet. Att våra kontouppgifter hos banken inte försvinner, att mitt ärende hos Försäkringskassan inte raderas av misstag till exempel. Vi vill inte att onödiga uppgifter behandlas, men vi vill absolut att de som måste behandla våra uppgifter gör det på ett sätt som inte är kränkande på ett känslomässigt plan, men inte heller orsakar ekonomisk skada, till exempel om våra kortuppgifter läcks på nätet, säger Sara.
Du har jobbat förberedande med GDPR ett bra tag nu, har du någon egen reflektion från detta år?
– Ja precis, jag har varit ute och hållit utbildningar för tusentals människor vid det här laget – och det går ungefär lika många rykten om lagstiftningen, har jag märkt i mina diskussioner med de jag mött. Exempelvis att man måste använda en viss namngiven (privat) aktör för att skicka lönespecifikationer till sina anställda, annars bryter man mot lagen. Lagen är ny – även om mycket faktiskt har gällt sedan tidigare genom PuL – och det har inneburit olika tolkningar som kan uppfattas som spretande. En del tolkningar kan vi helt enkelt inte veta om de håller, förrän vi får praxis från olika delar av Europa, och Sverige. Det jag tycker är mest spännande är dock symbiosen mellan juridik och teknik som blir ovanligt tydlig i detta fall, och som kommer betyda att både lagen och teknikutvecklingen kommer att samspela framöver och förändras en hel del, avslutar Sara.
Har du frågor om den nya dataskyddslagen?
Kontakta:
Sara Malmgren, advokat och ansvarig för Foyens avdelning IT och nya teknologier
sara.malmgren@foyen.se, 0733-22 84 28
