Igår skrev jag om ett antal frågetecken rörande den nya personuppgiftslagen. Idag kommenterade Elisabeth Wallin vid Datainspektionen några av dem i en chatt.
Sekretessbeläggs information som lämnas genom en data breach notification?
- Detta regleras inte i förordningen. Information som kommer in till Datainspektionen är - i detta fall precis som annars – offentlig och ska lämnas ut om det begärs, om det inte finns bestämmelser i offentlighets- och sekretesslagen som säger att den inte får lämnas ut.
- Om någon skulle begära ut information som kommer in i samband med en data breach notification får Datainspektionen alltså göra en sekretessprövning precis som vanligt för att se om den ska lämnas ut eller inte. Däremot innehåller förordningen en skyldighet för företaget eller myndigheten som drabbats av incidenten att själva lämna ut information om denna till de registrerade under vissa omständigheter. Informationen ska omfatta bl.a. vilka konsekvenser incidenten kan få och vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser
Hur detaljerad ska informationen vara?
- Informationen ska omfatta vilken typ av incident det är fråga om – t.ex. vilka kategorier av personer som kan beröras och hur många personer det berör, vilka konsekvenser det kan få och vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser. Om det inte är möjligt att lämna all information inom 72 timmar, kan man dela upp det och lämna olika uppgifter allt eftersom man hinner. Hinner man inte göra anmälan inom 72 timmar ska man meddela det och ange skälen för detta.
Är dataskyddsmyndigheterna skyldiga att tillämpa sanktionsreglerna?
- Ja, förordningen kräver att alla dataskyddsmyndigheter har befogenhet att döma ut sanktionsavgifter och att detta görs enligt en viss skala, beroende på vilken slags överträdelse det är fråga om.
- Varje dataskyddsmyndighet kan dock alltid göra en bedömning i det enskilda fallet av om sanktionsavgifter ska dömas ut och till vilket belopp (inom den angivna skalan). Syftet med förordningen är dock även på detta område att uppnå en EU-gemensam och harmoniserad praxis, och EU:s dataskyddsmyndigheter kan (genom den EU-gemensamma dataskyddsstyrelsen) komma att ta fram information för att se till att reglerna om sanktionsavgifter tillämpas på ett enhetligt sätt.
Kommissionen hävdar att reformen kommer innebära besparingar eftersom företag får ett regelverk att anpassa sig till istället för 28. Näringslivet befarar att detta kommer bli en dyr historia för företag pga böter, behovet av översyn av IT-system m.m. Vem har rätt?
- Båda har säkert rätt utifrån olika perspektiv. Syftet är bl.a. att förenkla för företagen genom att samma regler gäller i alla EU:s medlemsländer med de ”stordriftsfördelar” som det kan innebära. Men visst, bara det faktum att ett helt nytt regelverk träder ikraft innebär ju också att det inledningsvis kan innebära stora kostnader att lära sig de nya reglerna och anpassa sin verksamhet till dem.
Fredrik Svärd