”Samtycke ska vara sista utvägen”

I slutet av våren blev GDPR ett namn på allas läppar, inte minst då mejlkorgar översvämmades av mejl som bad om förnyat samtycke för att få spara olika uppgifter. Bland företagen har det funnits en stor oro kring hur de nya reglerna ska tolkas. På Svenskt Näringslivs arbetsgivardag i Malmö berättade organisationens expert Carolina Brånby att det fortfarande råder en hel del missförstånd kring lagen.

– Det finns många guider och appar som kan hjälpa en att förstå den nya dataskyddsförordningen, men för den som vill veta mer skulle jag faktiskt rekommendera att man läser själva lagtexten för att förstå vad som krävs, säger Carolina Brånby. Dessutom består inte dataskyddsreglerna endast av GDPR. Den kompletterande dataskyddslagen ger ytterligare möjligheter och begränsningar.

Ett vanligt missförstånd är att man alltid behöver inhämta samtycke för att få spara uppgifter om någon annan. Fel konstaterar Brånby. Exempelvis har man rätt att spara uppgifter som krävs för att fullgöra ett kontrakt och det finns också möjlighet att göra en intresseavvägning om ens eget intresse av att spara uppgifterna kan vara större än behovet av personlig integritet.

–- Att använda sig av samtycke kan vara vanskligt, eftersom det ska gå lika lätt att dra tillbaka sitt samtycke som att ge det. Om man behöver spara en viss uppgift bör man undersöka om det finns andra rättsliga grunder, säger Carolina Brånby.

En annan oro har varit de höga sanktionsavgifterna som kan uppstå om man bryter mot lagen. Fyra procent av en koncerns globala årsomsättning eller 200 miljoner kronor för har taket för sanktionerna satts till. Enorma summor för ett litet företag. Carolina Brånby pekar dock på att Datainspektionen i första hand beslutar om rättelse eller förbud mot att spara vissa uppgifter. Sanktioner kommer först vid grövre, eller upprepade misstag. Hur höga sanktionsavgifterna kommer bli i praktiken vet vi inte ännu, men mycket tyder på att de flesta fall kommer landa långt under taket.

– Det enda fall som jag hittills känner till där sanktionsavgifter dömts ut kommer från Österrike. Där fick företaget som använde kameraövervakning ut mot öppen gata böta ungefär 48 000 kronor, säger Carolina Brånby.

Den svenska modellen, med starka fack och kollektivavtal, skapar särskilda krav på företagen. Kollektivavtalen har fått en särställning i den svenska dataskyddslagen. Där framgår att krav i kollektivavtal är en rättslig grund för att behandla personuppgifter. Nära samarbete med fackförbunden kan samtidigt innebära risker.

– Om man vill lämna över information om sina anställda till fackförbunden måste man ha en rättslig grund för att få göra det. Eftersom det kan handla om känsliga personuppgifter bör man vara försiktig och definitivt ha relevanta personbiträdesavtal på plats, säger Carolina Brånby.