Dataskydd och personuppgifter

Personuppgiftslagen (PuL) är en lag som syftar till att säkerställa människors personliga integritet i samband med personuppgiftshantering. Lagen är relativt svåröverskådlig och har samtidigt en bred tillämpning då den träffar alla företag och organisationer samt omfattar allt från kundregister till personalsystem, kundtjänst och många marknadsföringsåtgärder.

Den 25 maj 2018 upphör PuL att gälla och ersätts av dataskyddsförordningen (GDPR). Syftet är att skapa ett enhetligt regelverk i hela EU/EES för att underlätta utbytet av personuppgifter. Samtidigt ska de registrerades rättigheter stärkas. Det införs även nya kraftfulla sanktionsavgifter som för företag kan uppgå till det högre av 20 miljoner euro eller fyra procent av årsomsättningen.

Vårt särskilda program för efterlevnad av dataskyddsförordningen ger bolag med omfattande kundrelationer och börsnoterade klienter en trygghet i att lagen efterlevs inom organisationen. Dessutom har vi särskild kompetens inom elektronik-, IT-, telekom- och finansbranscherna. Vi har arbetat efter den här projektmodellen hos många klienter under de senaste tio åren.

Efterlevnad av dataskyddsförordningen

Kompass Advokat har utarbetat ett särskilt arbetssätt för att säkerställa företags och organisationers efterlevnad av dataskyddsregelverket. Det består av sex steg som tillsammans säkerställer anpassning till och efterlevnad dataskyddsförordningen.

Hela projektet brukar beskrivas som en nystart i arbetet med efterlevnad av dataskyddsregelverket. Kompass Advokat har ofta rollen som arbetande projektledare och ansvarar för planering och genomförande av kartläggning, eventuellt inhämtande av ytterligare information/dokumentation, juridisk analys, åtgärdsförslag och sammanställning av rapport. Vi bistår även under åtgärdandet av de avvikelser från regelverket som konstaterats och kan omhänderha en avslutande kontroll av att efterlevnad har uppnåtts.

Steg 1: Utbildning och medvetandegörande
I samråd med klientföretaget håller Kompass exempelvis ett lunchseminarium för ledningsgruppen eller halv-/heldagsutbildningar för jurist- och/eller complianceavdelning, IT-chef eller annan målgrupp. Syftet är att göra berörda beslutsfattare medvetna om de stora förändringarna i dels företagets skyldigheter, dels riskbilden och de nya mycket stränga sanktionerna.

Steg 2: Projektplanering
Kompass planerar och leder ett uppstartsmöte i samverkan med klientföretaget. Vid mötet identifieras omfattningen av företagets personuppgiftshantering och förutsättningarna för projektet samt eventuella avgränsningar beslutas.

Steg 3: Kartläggning
Kompass inleder kartläggningen av de system, processer och övriga behandlingar av personuppgifter som ska ingå i den kommande gap-analysen. Detta sker normalt genom kortare intervju med lämplig medarbetare hos klientföretaget. Resultatet från kartläggningen är en beskrivning av varje system/behandling/process med tillräcklig information för att möjliggöra en gapanalys.

Steg 4: Gap-analys
Baserat på resultatet från kartläggningsfasen analyserar Kompass hanteringen i respektive system/behandling avseende efterlevnad av dataskyddsförordningen.  Resultatet sammanställs i en rapport, inklusive juridiska bedömningar och självinstruerande åtgärdsförslag.

Steg 5: Implementering
När åtgärderna ska implementeras kan Kompass antingen ha en rådgivande roll, eller ansvara som projektledare. Syftet är att företaget då med stöd från oss kan känna sig trygga i att de brister som upptäckts åtgärdas på ett tillfredsställande sätt, så att verksamheten säkerställer efterlevnad av dataskyddslagstiftningen.

Steg 6: Uppföljning och kontroll
Kompass upprättar förslag till en kontrollplan och kan sedan antingen ansvara för genomförandet av kontrollerna och uppföljning av verksamhetens efterlevnad av aktuella regelverk, eller bistå ansvarig medarbetare i er verksamhet med råd och stöd vid sådan kontroll och uppföljning.

Löpande rådgivning om dataskydd

Vi hjälper till med löpande rådgivning om dataskydd. Då granskar vi upplägg och problem, ger synpunkter och besvarar specifika frågor. Det kan handla om exempelvis förbudet mot att behandla uppgifter om brott, registrering av anställdas arbetsprestation eller whistleblowing-system. Vi hjälper även till med tillsynsärenden från Datainspektionen, till exempel genom att upprätta förslag på svarsbrev och förberedelser av tillsynsmöten. Vi kan även hjälpa till att ta fram biträdesavtal, policies, informationstexter, riktlinjer och samtyckestexter. Vi är idag rådgivare åt bolag med mycket stora personregister, bland annat banker och försäkringsbolag.

Due diligence om dataskydd

Kompass hjälper andra advokatbyråer med personuppgiftsrelaterade frågor som kan komma upp i samband med större transaktioner, exempelvis köparens genomgång av företaget inför ett företagsförvärv (due diligence). Vi kan då gå igenom exempelvis personuppgiftsbiträdesavtal, informationstexter och andra dokument och lämna våra bedömningar och rekommendationer. Vi kan även göra en förenklad gap-analys avseende personuppgiftshanteringen hos målbolaget och redovisa de avvikelser vi upptäcker samt lämna rekommendationer om hur det ska hanteras i samband med förvärvet.