4 nya lagar du missat under sommaren
Kanske trodde du att du skulle kunna pusta ut efter GDPR, men medan du smält bort i sommarvärmen har inte bara en, inte bara två eller tre, utan fyra nya digitala eller informationsrelaterade lagstiftningar börjat gälla i Sverige. I slutet av september kommer dessutom en femte. Utöver det har vi fått personuppgiftspraxis från EU-nivå och sett hur synen på och hanteringen av GDPR har utvecklats de första månaderna efter den 25 maj.
Det låter kanske mycket, men du kan vara lugn – vi har sammanfattat sommaren åt dig.
Starkare skydd för företagshemligheter
Den 1 juli började den nya lagen (2018:558) om företagshemligheter att gälla. Skillnaderna från den tidigare lagen är i korta drag att skyddet för företagshemligheter har stärkts och att lagen i sin helhet har blivit tydligare.
Begrepp i GDPR förtydligas av domstolen
Den 10 juli kom ett rättsfall från EU-domstolen (mål C-25/17). Fallet handlade om medlemmar i ett religiöst samfund som vid dörrknackning antecknade uppgifter om de besökta personernas namn, adress och religiösa övertygelse utan samtycke, och som i vissa fall lade in uppgifterna i ett register över personer som inte ville bli besökta igen.
EU-domstolens bedömning var följande:
- Medlemmarnas insamling av personuppgifter ansågs inte vara rent privat eftersom uppgifterna gjordes tillgängliga inom samfundet.
- Minnesanteckningar kan omfattas av definitionen ”register” om uppgifterna i anteckningarna enkelt kan erhållas för senare användning.
- Det religiösa samfundet ansågs vara personuppgiftsansvarigt trots att det inte hade full kontroll över behandlingen. Skälen för bedömningen var att behandlingen var till gagn för samfundets syfte samt att samfundet organiserade dörrknackningen och därigenom uppmuntrade till att medlemmarna behandlade personuppgifter inom ramen för dörrknackningen.
Från övervakning till bevakning
Den 1 augusti började den nya kamerabevakningslagen att gälla och ersatte därmed kameraövervakningslagen från 2013.
I kamerabevakningslagen har det generella kravet på tillstånd för kamerabevakning tagits bort. Nu behövs tillstånd bara vid kamerabevakning av en allmän plats i syfte att utföra en uppgift av allmänt intresse. Även privata verksamheter kan utföra uppgifter av allmänt intresse, t.ex. privatskolor, privat hälso- och sjukvård och kollektivtrafikbolag. Vid bedömningen av om tillstånd ska ges eller ej ska Datainspektionen, som är ny tillsynsmyndighet, väga intresset av bevakning mot den enskildes intresse av att inte bli bevakad.
Tillstånd som getts under kameraövervakningslagen har upphört att gälla i de fall tillstånd inte längre behövs, men fortsätter att gälla för de som måste ha tillstånd enligt kamerabevakningslagen.
Informationssäkerhet för samhällsviktiga och digitala tjänster
Den 1 augusti började lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster att gälla. Lagen, som tillkom för att uppfylla kraven i det s.k. NIS-direktivet, syftar till att ”uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga (…) och digitala tjänster”.
Lagen är viktig att ha koll på för dig som har verksamhet inom någon av sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten eller digital infrastruktur samt för dig som tillhandahåller en internetbaserad marknadsplats, sökmotor eller molntjänst. Har du en verksamhet som omfattas så ställs krav på bl.a. vidtagande av lämpliga säkerhetsåtgärder samt upprättande av rutiner för incidentrapportering.
GDPR:s brottsbekämpande kusin
I anslutning till GDPR kom också dataskyddsdirektivet, vilket till skillnad från den mer generella förordningen inriktar sig mer på behandling av personuppgifter hos brottsbekämpande myndigheter. Eftersom ett direktiv måste införlivas i nationell rätt genom en lag så har vi i Sverige fått brottsdatalagen (2018:1177), som började gälla den 1 augusti. Arbetar du inte på en myndighet eller annan organisation som sysslar med myndighetsutövning i syfte att ”förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder” eller ”upprätthålla allmän ordning och säkerhet” så är detta inte en lag du behöver fokusera på.
Hur har GDPR:s svallvågor sett ut?
När vår VD, Erika Malmberg, får frågan vad som hänt på dataskyddsfronten under semestern säger hon så här:
”Vi har under sommaren sett att intresset för integritet och dataskydd har ökat rent generellt. Många företag har insett att omställningen som följde av GDPR inte bara syftat till att uppfylla de rättsliga kraven, utan även till att kunna visa för sina kunder att verksamheten är integritetssäker. Därför har många fortsatt satsa på denna kvalitetssäkring och kommunikation till sina kunder även efter den 25 maj. Informationssäkerhet överlag har även blivit en större huvudvärk för företagen, eftersom allt kring GDPR även har fört med sig ett nyväckt intresse för bl.a. skydd av företagshemligheter och annan information.
På den privata fronten tror vi att viljan att betala för tjänster med pengar i stället för med ens personuppgifter kommer att öka framöver som ett resultat av den integritetsvåg vi sett sedan GDPR började gälla.”
Vad kommer härnäst?
Den 29 september 2018 börjar förordningen om elektronisk identifiering och autentisering (eIDAS) att gälla. Precis som GDPR kommer den att tillämpas direkt i Sverige utan att behöva införlivas genom en lag. eIDAS medför bl.a. att elektroniska identifieringstjänster som har nationell rättsverkan, t.ex. BankID, ska erkännas inom hela EU under vissa förutsättningar. Den här lagstiftningen är extra viktig att ha koll på för dig inom offentlig sektor. På EU-kommissionens hemsida kan du dock även hitta information om hur eIDAS kommer att kunna hjälpa små och medelstora företag.
I samband med att GDPR utformades upprättades även ett förslag till ePrivacy-förordning (ePR), med tanken att det skulle komma med uppdaterade regler om behandling av data i elektronisk kommunikation, t.ex. gällande hur samtycke för cookies ska inhämtas. Tanken var från början att ePR skulle träda i kraft samtidigt som GDPR, men det pågår fortfarande diskussioner inom EU-rådet om hur förordningen ska formuleras. Troligtvis kommer det att dröja till 2019 innan ePR har fått sin slutgiltiga utformning och kan träda i kraft. Tills vidare fortsätter den svenska lagen (2003:389) om elektronisk kommunikation (även kallad LEK) att gälla.
Mer information
Om du vill veta mer om någon av de nya eller kommande lagstiftningarna, kontakta oss gärna på info@intechrity.se.