Dataskydd har aldrig förr varit i mycket fokus som det är just nu och intresset växer hela tiden. Bolagsjuristbloggen.se har ställt några frågor till LegalWorks dataskyddsjurister, Axel Tandberg och Lotta Kavtaradze, men anledning av de nya reglerna.
Dataskyddsförordningen (DSF) har fått mycket större uppmärksamhet än PUL. Vad beror det på?
Axel: Det beror på att ansvaret för att behandla personuppgifterna korrekt skärpts och att dryga sanktionsavgifter drabbar den som bryter mot reglerna. Upp till 4 % av den globala årsomsättningen eller EUR 20 miljoner, beroende på vad som är högst. Inget företag vill betala den storleken på sanktionsavgifter i onödan.
Lotta: De flesta förstår att man inte längre kan ägna sig åt dataskyddsfrågorna med vänsterhanden på fredag eftermiddag när det står EUR 20 miljoner på spel. Och det är precis det som är meningen med de höga sanktionsavgifterna. Att sätta betydligt större fokus på dataskyddet och att få upp frågan på ledningsnivå.
Hur kommer den nya lagen påverka Datainspektionen (DI) som myndighet? Hur tror ni att DI kommer att agera med sina nya muskler? Kan vi förväntas oss gryningsräder och mångmiljonböter?
Lotta: Datainspektionen är en förhållandevis liten myndighet med små resurser om man jämför med EU-kolleger. De har fått trolla med knäna i många år. Om de kommer att få mer resurser återstår att se, men med tanke på de arbetsuppgifter som väntar är det i princip ett måste. De har möjlighet redan nu att göra gryningsräder, men har utnyttjat det synnerligen sparsamt och då framförallt för att överraska obskyra inkassoföretag som kört med benknäckarmetoden. Men jag tror inte att man behöver tvivla på att de kommer att besluta om höga sanktionsavgifter när de får chansen, särskilt när tillsynsmyndigheter i andra EU-länder har gått före och det finns en praxis så småningom.
Axel: Det stämmer, de europeiska dataskyddsmyndigheterna är redan idag mer benägna att ta ut sanktionsavgifter. Jag tänker främst på CNIL (Frankrike) som redan har försökt sig på att ta ut stora avgifter från Google.
Förutom sanktionsavgifterna, vad är den största skillnaden i förhållande till PUL?
Lotta: Kravet på accountability skulle jag säga, alltså kravet att kunna visa och bevisa att man följer lagstiftningen. Det medför ett krav på dokumentation, analyser, guidelines och styrning som inte finns idag på samma sätt, vilket i sin tur kräver resurser i form av kunskap och tid. Räkna med betydligt fler timmar i dataskyddets tjänst!
Axel: Dessutom tror jag att dataskydd kommer bli en stående punkt vid företags styrelsesammanträden. Detta kommer i sig tvinga fram en större förståelse för dataskyddsfrågor, inte minst hos bolagsjurister.
Vad är ditt bästa råd till den som funderar på att dra igång ett dataskyddsprojekt?
Lotta: Skapa en ”sense of urgency”, för det är precis vad det är!
Axel: Börja nu, imorgon är det försent. Du har cirka ett år på dig att bli kompatibel! Ska man styra om stora IT-projekt är det nu man ska börja!
Vad tycker ni att bolagsjuristen ska ha få roll i anpassningsprojektet? Ska man ”äga” projektet eller vara mer konsultativ?
Lotta: Det klassiska juristsvaret; det beror på! Det är viktigt att alla känner ett ansvar: IT, Juridik, HR, Marknad och Säkerhet framförallt. I en liten organisation kanske du inte har något val utan får axla rollen att driva projektet. I en större organisation kan det vara lämpligare att du bidrar aktivt med dina kunskaper utan att juristavdelningen för den skull måste äga projektet.
Axel: Jag håller med, men vill betona att bolagsjuristen har ett stort ansvar att driva på frågan, eftersom man normalt är den som har störst förståelse för frågorna i företaget. Därmed inte sagt att man behöver vara projektledare, men bolagsjuristen har en viktig ledarskapsroll när det gäller att prioritera, påverka beslutsfattare och få alla berörda funktioner att dra sitt strå till stacken.
