PUL:s ersättare kan få stora konsekvenser för det offentliga Sverige

Senast EU tog en lag inom datalagring var för över 20 år sedan. Efter fyra långa år av politiska förhandlingar och lobbying kom EU-kommissionen, EU-parlamentet och ministerrådet under förra året överens om en gemensam text i den nya dataskyddsförordningen (General Data Protection Regulation).

GDPR ersätter PUL från 1995 och träder i kraft och får direkt effekt den 25 maj 2018. Den behöver alltså inte implementeras i svensk lag och den får samma ordalydelse i alla EU:s medlemsländer.

– Den 25 maj kommer förordningen att gälla direkt, sedan finns det i förordningen vissa bestämmelser som ger medlemsländerna rätt att ta fram egna regler, säger Elisabeth Jilderyd, jurist på Datainspektionen, till Upphandling24.

Förordningen, som gäller för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder, innebär hårdare krav på hantering av personuppgifter men också höjda sanktionsavgifter på upp till 20 miljoner euro.

– Det är två olika nivåer för olika former av överträdelser med ett ganska stort spann inom dessa. Den högsta kontrollavgiften kan utdömas för överträdelser som exempelvis att bryta mot de grundläggande principerna, bland annat att behandla personuppgifter utan särskilt ändamål eller behandla dem för något annat ändamål än man samlat in dem för. Det kan också handla om att man inte tillgodoser de registrerades rättigheter till information eller rättelser. Att för ut utgifter till tredje land utanför EU är också ett sådant worst case-scenario, säger Elisabeth Jilderyd.

Med den nya förordningen kommer det att ställas krav på nya rutiner och processer för säker hantering av register samt hårdare krav på ansvarig.

Några avgörande skillnader mot PUL är att det kommer att krävas en ny roll, en Data Protection Officer, för myndigheter och företag som hanterar en stor mängd känsliga personuppgifter eller systematiskt övervakar privatpersoner.

En annan skillnad är krav på omedelbar rapportering av integritetsbrott men också nya krav på dokumentation, uppföljning och riskanalyser.

Det kommer att få omfattande konsekvenser på it-upphandlngar. Med GDPR införs nämligen ett krav på att ett högt integritetsskydd byggs in i processer och system redan från början. Det innebär att organisationen redan vid upphandlingen av ett it-system eller vid ändring av befintligt it-system ska ta hänsyn till integritetsskyddet och bygga in funktioner som stödjer det.

Det införs även nya villkor för att överföra personuppgifter till länder utanför EU-området.

Syftet med reformen är en ökad harmonisering, där det ska vara exakt likadana regler över hela EU för att underlätta för de som har gränsöverskridande verksamhet.

– De grundläggande delarna i dagens regler, dataskyddsdirektivet och personuppgiftslagen, förändras inte så mycket. Det kommer fortfarande att krävas att man har ett berättigat och särskilt ändamål för att behandla personuppgifter samt att man håller sig till det ändamålet. De grundläggande principerna gäller fortfarande, säger Elisabeth Jilderyd.

Hon berättar att mycket kommer att vara sig likt, men att förordningen innebär mer detaljerade bestämmelser.

– Till exempel trycker den hårdare på att de som är personuppgiftsansvariga måste ta ansvar för att behandlingen är korrekt. Det läggs till som en ny, särskild princip, säger Elisabeth Jilderyd.

Hon berättar att denna princip bland annat tar sig uttryck i att man kommer att behöva göra en konsekvensbedömning i vissa fall kring vad insamlingen av personuppgifter kommer att innebära. Dessutom finns mer specificerade regler kring vilka säkerhetsåtgärder som finns samt vilken säkerhetsnivå man behöver ha.

En annan viktig skillnad är att man behöver anmäla säkerhetsincidenter till Datainspektionen. Dessutom ges de personer som registreras ökade rättigheter, inte minst rätt att kräva skadestånd.

Förändringarna kan leda till fler jobb för jurister och andra som arbetar med personuppgiftshantering. International Association of Privacy Professionals, IAPP, bedömer att europeiska företag kommer behöva anställa 28 000 personuppgiftsansvariga som en följd av reformen.

Det är med andra ord hög tid att förbereda sig och Sveriges Kommuner och Landsting har bland annat hållit ett webbinarium i ämnet och Datainspektionen har en hel avdelning på sin webb avsatt för detta.

När det gäller information från Upphandlingsmyndigheten hänvisas till Datainspektionen.

– Den myndighet som har i uppdrag att allmänt informera om PUL och EU:s dataskyddsreform är Datainspektionen. Det är också den myndigheten som har expertkompetensen inom området. Några mer omfattande informationsinsatser inriktade på just dessa frågor kan inte förväntas från Upphandlingsmyndigheten, säger Anders Asplund, chefsjurist på Upphandlingsmyndigheten, till Upphandling24.

Samtidigt menar han att det inte utesluter att de i någon mån kan komma att beröra dessa frågor i sin informationsverksamhet.

– Inom ramen för vårt uppdrag att verka för en effektiv och rättssäker offentlig upphandling eftersträvar vi att – så långt våra begränsade resurser medger – allsidigt informera om olika rättsliga frågor som upphandlande myndigheter/enheter och leverantörer bör beakta vid upphandling och anbudsgivning, säger Anders Asplund.

Hotet om ökade krav och höga sanktionsavgifter har gjort att frågan om personuppgiftshantering fått en helt ny ställning och i många organisationer har flyttats in i styrelse- eller ledningsrummet.

– Det innebär en rad nyheter för företag, myndigheter och andra organisationer som hanterar personuppgifter. Det är viktigt att känna till vilka förändringarna blir och redan nu börja arbetet med att förbereda sig för den nya lagstiftningen, säger Jonas Agnvall som leder Datainspektionens kursverksamhet.

Redan förra året började Datainspektionen ordna utbildningar i den kommande dataskyddsförordningen. I år intensifieras den satsningen. Under våren ordnas fem utbildningar, fyra i Stockholm och en i Göteborg. Två av utbildningstillfällena riktas till dem som arbetar i offentlig sektor medan en är specifikt framtagen för dem som arbetar i den privata sektorn. Ett utbildningstillfälle fokuserar på informationssäkerhet och tar upp de krav på säkerhetsåtgärder som förordningen ställer på organisationer som hanterar personuppgifter.