Viktiga pusselbitar saknas när GDPR införs

NYHET Publicerad

KOMMENTAR Riksdagen har antagit dataskyddlagen som kompletterar dataskyddsförordningen, GDPR. Nästa steg blir regeringens förordning och Datainspektionens föreskrifter. Den 25 maj ska det nya dataskyddet vara på plats och börja tillämpas. Men det svenska regelverket är inte komplett utifrån ett näringslivsperspektiv. Varken personuppgiftsscreening vid exportansökningar, uppgifter från visselblåsare eller möjlighet att följa FN:s och OECD:s riktlinjer om CSR kommer att vara möjligt enligt regelverket. Många företag har förgäves inväntat nya föreskrifter från Datainspektionen.

Det finns olika krav vad gäller behandling av olika kategorier av personuppgifter. Enligt dataskyddsförordningens, GDPRs, artikel 10 får personuppgifter som rör domar i brottmål eller lagöverträdelser endast behandlas under kontroll av myndigheter eller då nationell rätt tillåter behandling. Företagen måste ha stöd i nationell lag, förordning, föreskrift eller erhållit tillstånd för att få behandla personuppgifter om lagöverträdelser.

Enligt den svenska kompletterande dataskyddslagen 3 kapitlet 9 § får regeringen eller tillsynsmyndighet meddela föreskrifter om när företag får behandla personuppgifter som rör lagöverträdelser. Tillsynsmyndigheten får därutöver i enskilda fall bevilja behandling i ett tillstånd som kan förenas med villkor. Ett villkor kan till exempel innebära att tillsyn ska genomföras innan en behandling får påbörjas.

Regeringen kommer att besluta om en förordning som reglerar att Datainspektionen är tillsynsmyndighet, får meddela föreskrifter och får besluta om tillstånd om behandling av uppgifter om lagöverträdelser i enskilda fall (artikel 3 och 5). Regeringsförordningen ger andra än myndigheter rätt att behandla uppgifter om lagöverträdelser i tre fall (artikel 4), om behandlingen

  1. är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall, (ersätter DIFS 2010:1, 1§ d))
  2. avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller
  3. avser enstaka uppgifter och är nödvändig för att
  4. en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Det förbud som den svenska personuppgiftslagen, PUL, utgått ifrån kan ses som en överimplementering av EU:s dataskyddsdirektiv från 1995. De nya reglerna ligger mer i linje med EU regelverket och utgår inte ifrån att behandlingen är förbjuden.

Trots detta skriver Datainspektionen i sin konsekvensutredning till DIFS 2018:2 att artikel 10 i dataskyddsförordningen innehåller bestämmelser som i princip motsvarar det förbud som idag gäller enligt personuppgiftslagen. Men den synen delar inte regeringen. I förarbetena skriver regeringen att utrymmet för att tillåta behandling genom föreskrifter och beslut i enskilda fall blir större än enligt personuppgiftslagen, eftersom den utgår ifrån att behandling är förbjuden. Därför är det svårt att förstå varför Datainspektionens formulerar som mål att bevara status quo genom att se till att behandling kan ske i den utsträckning som tidigare varit möjlig enligt föreskrifter enligt personuppgiftslagen (konsekvensutredningen, sidan 3).

Den problembeskrivning som både näringslivet, regeringen och Datainspektionen ger uttryck för pekar på att tillstånd i enskilda fall är betungande för företagen. De måste lägga ner tid och resurser på att upprätta och ansöka om tillstånd. Därtill kommer den osäkerhet som utgången av ett enskilt beslut innebär. Problembeskrivningen tillsammans med de nya dataskyddsreglerna talar för att Datainspektionens föreskrifter borde öppna upp för mer behandling jämfört med tidigare föreskrifter enligt personuppgiftslagen.



Screening av personuppgifter mot spärr och sanktionslistor


Screeningen är ett led vid exporttillståndansökan hos amerikanska myndigheter. Det kan gälla export till USA, men även till tredje land om amerikanska komponenter ingår i exportvaran. I Sverige har det hittills ansetts mycket svårt att få tillstånd av Datainspektionen för att kunna genomföra så kallad screening av personuppgifter mot utländska sanktions- och spärrlistor. Eftersom ett eventuellt avslag på tillståndsansökan inneburit en hög risk för företag att själv hamna på framförallt amerikanska spärrlistor har ansökningarna varit få.

För att svenska företag ska kunna delta i internationell handel behövs tydliga regler som tillåter screening i syfte att förhindra grov brottslighet som till exempel terrorism. EU-medlemsstaterna måste ha nationellt regelverk som möjliggör denna personuppgiftsbehandling. De formuleringar och förslag på lösning som finns i propositionen är mycket välkomnade av näringslivet.

Regeringens uppfattning är att tillåten behandling av lagöverträdelser ska överstämma med vad som är tillåtet i andra länder. Behandling av personuppgifter i samband med exporttillstånd till tredje land bör typiskt sett vara möjlig. Regeringen poängterar att det för tillsynsmyndigheten finns anledning att meddela föreskrifter i fråga om screening av personuppgifter mot de viktigare spärr- och sanktionslistorna (prop. 2017/18, s 100–101). Men trots dessa till synes tydliga skrivningar lägger varken regeringen eller Datainspektionen fram några konkreta regelförslag.



Behandling av uppgifter i visselblåsarsystem om missförhållanden
 

Föreskriften DIFS 2018:02 har exakt samma lydelse som DIFS 2010:1 vad gäller företagens rätt att behandla visselblåsaruppgifter. Föreskriften begränsar rätten att behandla inkomna uppgifter till de som avser personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen.

Här behövs en svensk reglering likt den franska. I Frankrike har man inte begränsat företagens rätt till behandling till uppgifter om personer med högre ställning inom företaget. Alla som företräder företaget kan visselblåsas om felaktigheter, även anställda utan speciellt angiven position (NOR: CNIL1721434Z).

Men tillämpningsområdet skulle behöva vidgas ytterligare, bortom det egna bolaget och koncernen. Det är känt att svenska företag kan hamna i situationer där deras samarbetspartner eller underleverantörer ertappas med allvarliga oegentligheter som korruption och mutor. Det förekommer att sådana uppgifter inkommer via de särskilt upprättade rapporteringskanalerna för visselblåsare. För företagens möjlighet att bedriva verksamhet på ett korrekt sätt och med bibehållet anseende är det mycket viktigt att även dessa uppgifter får behandlas, även om det rör personer i ett externt företag.

Även regeringen tycker att företagens behandling av dessa uppgifter är viktiga eftersom man anslutit sig till FN:s och OECD:s riktlinjer och standarder för CSR. I dessa riktlinjer ställs höga krav på företags konsekvensanalyser, due diligence, för att bland annat hindra korruption och möjliggöra visselblåsning. Detta innebär att företag förväntas kunna ha en sådan överblick och kunskap om sina samarbetspartners att man inte riskerar vara en del av eller sammankopplas med oegentligheter (Regeringens skrift Hållbart företagande, maj 2016). Det är anmärkningsvärt att regeringen varken i direktiv till dataskyddsutredning, proposition, regeringsförordning eller i instruktion till tillståndsmyndigheten verkat för CSR-efterlevnad.

Många företag har inväntat de nya föreskrifterna, men förgäves. Efter skrivningarna i förarbetena fanns förväntan att regeringen och Datainspektionen skulle komma med nya regler för personuppgiftsbehandling av lagöverträdelser. Med tanke på Sveriges exportberoende vore det i högsta grad rimligt. Nu återstår för företagen att skyndsamt ansöka om enskilda tillstånd. En onödigt tung arbetsbörda väntar både företag och Datainspektionen.

Förslagen i korthet
  • Svenskt Näringsliv efterlyser förskrifter som gör svensk export möjlig genom att tillåta nödvändiga personuppgiftsbehandlingarna mot sanktions- och spärrlistor.
  • Svenskt Näringsliv understryker vikten av att företag ges samma förutsättningar för personuppgiftsbehandling i Sverige som i övriga EU.
  • Svenskt Näringsliv efterfrågar ett regelverk som överensstämmer med regeringens exportstrategi och förväntan på företag att leva upp till FN:s och OECD:s riktlinjer för hållbart företagande, Corporate Social Responsibility (CSR).

Läs även

Fler liknande nyheter

NYHET Publicerad:

GDPR- expert: ”Samtycke har ingen rättslig grund i en beroendeställning”

DATASKYDDSFÖRORDNINGEN Gymnasieskolan som använde kameraövervakning bröt mot dataskyddsförordningen. När det finns en beroendeställning gäller inte samtycke som rättslig grund, menar jurist Carolina Brånby.
NYHET Publicerad:

Digitaliseringen av svensk offentlig förvaltning – ett arbete med förhinder?

KOMMENTAR I en OECD:s rapport ställs frågan varför Sverige, trots hög teknisk standard och datamognad, inte förmår använda digitaliseringen för att effektivisera svensk offentlig förvaltning.
NYHET Publicerad:

Plattformsekonomi – vad är det och hur fungerar den?

DATAEKONOMIN I samarbete med fyra medlemsorganisationer – IT och telekomföretagen, Svensk Handel, Teknikföretagen och Visita – höll SN ett seminarium på detta tema den 17 maj. 65 nyfikna deltagare samlades på Europahuset i Stockholm.
NYHET Publicerad:

Så skapas AI du kan lita på

DIGITALISERING Ett 50-tal experter från universitet, näringsliv och civilsamhället har på EU-kommissionens uppdrag arbetat fram ett dokument med riktlinjer för Tillitsfull AI.
NYHET Publicerad:

Låt inte ePrivacy dränka digitala möjligheter

KOMMENTAR Om ePrivacyförordningen får fel utformning, så beskär det möjligheterna till elektronisk överföring och lagring av data. Det är negativt för alla som kommunicerar digitalt. Kasta förslaget i soptunnan och börja om, skriver Carolina Brånby, jurist digital policy.
NYHET Publicerad:

Akut att stoppa cyberbrottsligheten – så ska det gå till

IT-SÄKERHET I ljuset av den stora säkerhetsläckan från 1177 Vårdguiden är frågan hur Sverige ska stärka sin IT-säkerhet viktigare än någonsin. På Näringslivets Säkerhetsdelegations årsmöte diskuterades hur svenska företag och myndigheter kan arbeta för att stå emot den växande cyberbrottsligheten.
NYHET Publicerad:

E-faktura närmar sig med stormsteg

DIGITALISERING Tre av fyra småföretag klarar inte att använda e-faktura i affärer med offentlig sektor. ”Vägledningen måste vara tydlig och lättbegriplig”, säger jurist Birgitta Laurent.
NYHET Publicerad:

"Ingen pratar om det som redan görs med AI"

AI Just nu pågår det närmast en Tsunami av event om artificiell intelligens, AI, i Bryssel. Det som tas upp är potential för tekniken, behovet av investeringar men också risker med den nya tekniken, berättar Sophia Bengtsson, biträdande Chef Svenskt Näringslivs Brysselkontor, i samband med att hon var värd för seminariet AI IN PRACTICE som arrangerades tillsammans med IT&Telekomföretagen.
NYHET Publicerad:

Trubbigt biträdesavtal riskerar ge färre anbud

OFFENTLIG UPPHANDLING Sveriges kommuner och landsting, SKL, har tillsammans med SKL Kommentus och Inera arbetat fram en mall för ett personuppgiftsbiträdesavtal som ska kunna användas vid offentlig upphandling. ”Vi är kritiska till att en och samma mall, som kommer att uppfattas som bindande, ska användas i alla olika typer av avtal. Risken är stor att företag då väljer att avstå från att delta i offentlig upphandling med en sämre konkurrens som följd”, skriver juristerna Birgitta Laurent och Carolina Brånby
NYHET Publicerad:

Snabb teknisk utveckling påverkar immaterialrätten

SEMINARIUM Den fjärde industriella revolutionen är här. Förändringarna är så snabba och genomgripande att alla måste skapa sig en förståelse av hur de kan komma att påverka företag och arbetsplatser. Det innebär utmaningar för kunskapsbaserade tillgångar.
NYHET Publicerad:

Så fungerar AI i praktiken

SEMINARIUM Artificiell intelligens, AI, är på allas läppar i EU:s huvudstad Bryssel. Seminarier avlöser varandra.
Under Brysselkontorets och It&telekomföretagens evenemang presenterades flera företagsexempel.
NYHET Publicerad:

EU:s plan för artificiell intelligens stärker företagens konkurrenskraft

KOMMENTAR EU:s medlemsländer har presenterat en AI-plan för att främja utveckling och användning av artificiell intelligens. Att stärka AI vad gäller utveckling och användning i Europa är välkommet. Svenskt Näringsliv betonar bland annat betydelsen av ett hållbart och flexibelt regelverk, en investeringsvänlig politik och en infrastruktur av hög kvalitet. 
NYHET Publicerad:

Sverige driver inte digitaliseringen

KOMMENTAR Sverige anser sig vara en av EU:s nio ”digitala frontrunners”. När digitaliseringsministrarna möttes i Wien nyligen blev det uppenbart att Sverige inte är drivande och inte har förstått vikten av ePrivacy-förordningen, skriver jurist Carolina Brånby.
NYHET Publicerad:

”Samtycke ska vara sista utvägen”

ARBETSGIVARDAGEN För ungefär ett halvår sedan trädde EU:s nya dataskyddsförordningen, GDPR, och kompletterande svenska dataskyddsregler i kraft i Sverige. Fortfarande råder viss förvirring och en del missförstånd kring regelverket, konstaterade Svenskt Näringslivs expert Carolina Brånby på ett Arbetsgivardagen i Malmö. Exempelvis är det många som tror att det alltid krävs samtycke för att spara uppgifter. ”Det finns flera andra grunder för att få spara uppgifter, och om möjligt bör man försöka använda någon av dem”, säger Carolina Brånby.
NYHET Publicerad:

Geoblockering förbjuds mitt i julhandeln

NÄTHANDEL Från 3 december i år ska konsumenter och företag få besöka och handla från webbsidor inom hela EU. För dig som är leverantör är det viktigt att ha koll på vad som verkligen krävs. Sanktionsavgifterna i Sverige föreslås få uppgå till max 10 procent av årsomsättningen. 
NYHET Publicerad:

Riktlinjer för den ansvarfullt skapade artificiella intelligensen

KOMMNENTAR Det pågår flera ambitiösa arbeten med att ta fram riktlinjer för hur artificiell intelligens, AI, kan användas på ett etiskt ansvarsfullt sätt. Initiativen tas inom näringslivet. EU-kommissionen har en expertgrupp som jobbar dels med etiska riktlinjer, dels med rekommendationer för att stärka användandet av AI.
NYHET Publicerad:

Ingen kan tycka att upphovsrättens problem är lösta

KOMMENTAR Det är få frågor inom immaterialrätten som väcker så heta känslor som förändringar i det upphovsrättsliga skyddet. Diskussionen kring den omröstning som skedde i EU-parlamentet den 12 september visar detta med önskvärd tydlighet.
NYHET Publicerad:

Rumphugget om fjärde industriella revolutionen

KOMMENTAR Artificiell intelligens, robotteknik, nanoteknologi och 3D-printing. Den fjärde industriella revolutionen är här. Utmaningarna kräver att osäkerheten kring gällande regler minskar och att policyutvecklingen skyndas på, anser Christina Wainikka, policyexpert för immaterialrätt.
NYHET Publicerad:

Nu börjar GDPR gälla!

GDPR I GDPR ställs höga krav på ordning och reda i behandlingen av personuppgifter. Den värnar integritetsskydd samtidigt som den också ska garantera fria dataflöden för att stärka innovation, handel och konkurrenskraft. ”Att ordningen är rörig att förstå sig på, håller nog många med om”, säger Carolina Brånby, jurist och policyansvarig på Svenskt Näringsliv.
NYHET Publicerad:

Regeringens AI-satsning riskerar att bli bortkastad

KOMMENTAR Regeringens aviserade satsning på att skapa en internationellt ledande samverkansmiljö för AI är i sig välkommen, menar Svenskt Näringslivs Christina Wainikka som dock efterlyser en struktur för att att hantera kunskapsbaserade tillgångar.