Verksamheter som behandlar personuppgifter i digitala tjänster, molnmiljöer och datadrivna system möter ett växande antal krav enligt GDPR. Regelverket gäller genom hela livscykeln för personuppgifter – från systemdesign och avtalsstruktur till incidenthantering och kontakter med tillsynsmyndigheter. Kraven blir särskilt komplexa i teknikintensiva miljöer där personuppgiftsbehandling är integrerad i centrala affärssystem.
Juridiska frågor uppstår löpande vid val av molntjänster och systemleverantörer, vid lansering av digitala produkter, vid överföring av personuppgifter till tredje land samt i samband med tillsyn och granskning. Hanteras de fel eller för sent kan konsekvenserna bli betydande, både i form av sanktionsavgifter, skadestånd och förlorat förtroende.
TechLaw erbjuder specialiserad rådgivning inom dataskydd och integritet med fokus på regelefterlevnad och praktisk tillämpning i komplexa IT-miljöer. Vi bistår i hela livscykeln för personuppgiftsbehandling och hjälper verksamheter att omsätta regelkrav till fungerande arbetssätt.
Vår rådgivning
Vi bistår i juridiska frågor som uppkommer vid behandling av personuppgifter i digitala och tekniska miljöer, bland annat i frågor som rör:
- Dataskyddsstrategi och praktisk regelefterlevnad i IT-miljöer
- Personuppgifter i molntjänster, SaaS-lösningar och digitala produkter
- Konsekvensbedömningar (DPIA) och riskanalyser
- Personuppgiftsbiträdesavtal och andra dataskyddsrelaterade avtal
- Tredjelandsöverföringar och internationella dataflöden
- Personuppgiftsincidenter, tillsyn och kontakter med tillsynsmyndigheter
- Stöd i rollen som dataskyddsombud (DPO)
Hur vi bistår
Vi arbetar med löpande juridisk rådgivning, projektstöd och interimslösningar anpassade efter verksamhetens behov och mognadsgrad. Det kan handla om rådgivning inom dataskydd, stöd vid införande av nya system och AI-lösningar, uppdrag som dataskyddsombud (DPO) samt hantering av incidenter och tillsynsärenden.
Många uppdrag berör flera rättsområden samtidigt. Dataskyddsfrågor uppstår ofta tillsammans med artificiell intelligens (AI), IT & teknik och IT-säkerhet. Vi erbjuder även kurser och webbinarier inom dataskydd anpassade för olika delar av organisationen.
Vanliga frågor om GDPR och dataskydd
När krävs en konsekvensbedömning (DPIA)?
En konsekvensbedömning avseende dataskydd enligt GDPR är obligatorisk när en planerad behandling sannolikt medför hög risk för fysiska personers rättigheter och friheter. Det gäller bland annat vid systematisk och omfattande profilering, storskalig behandling av känsliga personuppgifter och systematisk övervakning av allmän plats. IMY har publicerat en lista över behandlingar som alltid kräver en konsekvensbedömning avseende dataskydd. En juridisk bedömning behöver göras i varje enskilt fall – en behandling som inte finns på listan kan ändå kräva en sådan bedömning beroende på sammanhang och skala.
Vad gäller vid överföring av personuppgifter till USA och andra tredjeländer?
Överföring av personuppgifter till länder utanför EU/EES förutsätter en giltig överföringsmekanism. De vanligaste är EU-kommissionens standardavtalsklausuler (SCC) och, för USA, det så kallade EU-US Data Privacy Framework. Utöver valet av mekanism bör en bedömning göras av om mottagarlandets lagstiftning i praktiken underminerar skyddet – ofta kallad en transfer impact assessment (TIA). Det är en juridisk och teknisk bedömning som behöver göras per leverantör och dataflöde.
Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?
Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen – typiskt den verksamhet som samlar in och använder uppgifterna. Personuppgiftsbiträdet behandlar uppgifter för den ansvariges räkning, exempelvis en molntjänstleverantör eller ett konsultföretag. Distinktionen är avgörande för vilka skyldigheter som gäller och hur avtalsstrukturen ska se ut. Felaktig klassificering är en vanlig brist vid tillsyn och kan medföra att personuppgiftsbiträdesavtal saknas eller är felaktigt utformade.
Vad ska ett personuppgiftsbiträdesavtal innehålla?
GDPR ställer specifika krav på vad ett personuppgiftsbiträdesavtal måste reglera, bland annat behandlingens föremål och ändamål, säkerhetsåtgärder, anlitande av underbiträden samt radering eller återlämnande av uppgifter vid avtalets slut. Kraven behöver hanteras utifrån det enskilda uppdraget och den faktiska behandlingen. Standardavtalsklausuler kan användas som grund men behöver anpassas till det enskilda uppdraget.
När är ett dataskyddsombud (DPO) obligatoriskt?
Dataskyddsombud är obligatoriskt för offentliga myndigheter och organ, samt för privata verksamheter som i sin kärnverksamhet bedriver storskalig, regelbunden och systematisk övervakning av registrerade, eller storskalig behandling av känsliga personuppgifter. Även verksamheter som inte omfattas av kravet väljer ofta att utse ett dataskyddsombud för att säkerställa strukturerad regelefterlevnad. TechLaw kan bistå i rollen som externt dataskyddsombud.
Hur hanteras en personuppgiftsincident korrekt?
Vid en personuppgiftsincident gäller en anmälningsskyldighet till IMY inom 72 timmar från det att den personuppgiftsansvarige fått kännedom om incidenten, om den sannolikt medför risk för fysiska personers rättigheter och friheter. Om risken är hög ska även de registrerade underrättas. Hanteringen kräver snabb intern utredning, dokumentation och bedömning av risk – parallellt med att åtgärder vidtas för att begränsa skadan. Förberedelse i form av interna rutiner och avtalsreglering med biträden är avgörande för att klara tidsfristen.
Relevanta regelverk
Rådgivningen berör ett flertal regelverk beroende på verksamhet – däribland GDPR, dataskyddslagen, regler om elektronisk kommunikation och integritet (ePrivacy), patientdatalagen och registerlagar, standarder och ramverk för informationssäkerhet samt vägledningar från tillsynsmyndigheter som IMY och EDPB. Vi hjälper er att bedöma vilka krav som är relevanta i det enskilda fallet och hur de kan omsättas i praktiken.
Tillämpas ofta inom
Rådgivningen tillämpas ofta inom tech- och plattformsbolag, finansiella tjänster & FinTech, Life Science & MedTech och offentlig verksamhet.