Många har talat om vilka oerhört stora svårigheter och problem som GDPR kommer innebära för företagen, vilket delvis stämmer. I denna artikel lyfts dock istället fördelarna fram.
-
Innan GDPR började tillämpas den 25 maj i år var dataskyddsregelverken inte harmoniserade i de olika EU-länderna. För svenska företag, särskilt små och medelstora, som har velat etablera sig i andra EU-länder har det varit kostsamt att anpassa sig till de olika ländernas olika dataskyddsregler, t.ex. olika regler för att hantera uppgifter om försäkringstagare, fysiska personer, i Sverige och Frankrike. Det kan också ha handlat om t.ex. svenska försäkringsgivare, förmedlare eller skadereglerare, som har velat etablera sig i flera olika EU-länder. Med GDPR blir i vart fall i huvudsak dataskyddsregelverket harmoniserat i hela EU, vilket bör förenkla etableringen i olika EU-länder.
-
En stor skillnad mellan tidigare personuppgiftslagen och GDPR är att det sistnämnda regelverket även omfattade så kallat ostrukturerat digitalt material, sålunda personuppgifter i dokument på den anställdes egen dator, kanske beslut sparade i ”gulmappar”, personuppgifter på webbsidor och i e-post. Sådan hantering har, med smärre undantag, företag tidigare kunnat strunta i. Nu måste företagen även få kontroll över vilka personuppgifter som behandlas i t.ex. de anställdas e-post men även som anställda lagrar i sina egna digitala mappar. E-post och lagring i egna mappar är oftast inte en säker förvaring då den är svårare att skydda mot obehörig åtkomst, och det kan även ofta vara svårt att hitta uppgifter om en enskild i e-posten, mapparna eller säkerställa att uppgifterna blir borttagna när de inte längre behövs. För att göra det lättare att följa GDPR är det viktigt att i görligaste mån flytta personuppgifter från e-posten och de lokala mapparna till ett lämpligare system, såsom t.ex. ett ärendehanteringssystem. Detta är en stor fördel för företaget även om man inte beaktar dataskyddet för då blir det lättare att hitta uppgifterna för samtliga på företaget som behöver ha tillgång till dem. Det är också bra för företaget att anställda raderar sina inkorgar och egna mappar då detta minskar kraven på lagringsutrymme i IT-hjälpmedlen.
-
Enligt artikel 10 i GDPR får uppgifter om fällande domar i brottmål som huvudregel endast behandlas av myndighet eller då behandlingen är tillåten enligt EU-rätten eller enligt nationell (t.ex. svensk) rätt. För försäkringsbranschen är det ju ofta viktigt att i vissa delar av verksamheten få behandla uppgifter om brott, t.ex. i samband med skadereglering men även på andra områden av verksamheten. Motsvarande förbud fanns även i 21 § personuppgiftslagen, med en möjlighet för regeringen, eller den myndighet regeringen bestämde, Datainspektionen, att meddela generella eller individuella undantag. I svensk rätt har dock detta förbud fram till GDPR började tillämpas även omfattat misstankar om brott men nu torde det bara omfatta fällande domar i brottmål, även om det inte är helt klart hur denna regel i 10 § GDPR kommer att tolkas. Detta innebär en stor fördel för försäkringsbranschen som då kan behandla personuppgifter om misstankar om brott så länge GDPR i övriga delar följs. Om det däremot handlar om att behandla fällande domar i brottmål har Datainspektionen i sina förskrifter, som nu har upphört att gälla, meddelat undantag från förbudet mot att behandla brottsuppgifter om det rört ”enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall”. Detta har ju omfattat försäkringsbolagens fastställande av om rätt till försäkringsersättning föreligger. Nu liberaliseras detta i och med att nämnda föreskrifter ersätts av en bestämmelse i 5 § p. 1 i kompletteringsförordningen[1], svensk förordning som kompletterar GDPR, där det inte längre krävs att det bara ska vara enstaka uppgifter om brott för att få behandlas för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall. Det finns sålunda inte längre någon begränsning av omfattningen av behandlingen av personuppgifter om brott för att fastställa rättsliga anspråk. Men om man som försäkringsbolag, eller annan aktör, vill behandla brottsuppgifter utanför området att fastställa rättsliga anspråk, har detta också liberaliserats, då det nu kommer att bli lättare att få tillstånd av Datainspektionen att få behandla uppgifter om brott. I propositionen till de svenska kompletteringsreglerna till GDPR uttalas nämligen följande ”Tillsynsmyndighetens utrymme att avslå en begäran om tillstånd torde i princip vara begränsat till de fall där behandlingen skulle vara oförenlig med dataskyddsförordningen i övrigt, i synnerhet principerna i artikel 5 och kravet på rättslig grund i artikel 6. I annat fall bör tillstånd beviljas, men vid behov förenas med krav på lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.” [2] Slutsatsen blir att seriösa aktörer som har vettiga ändamål med att behandla brottsuppgifter kommer att få ett tillstånd därtill, vilket har varit mycket svårt i dag.
-
De nu införda sanktionsavgifterna har fått företagens ledningsgrupper att börja diskutera dataskyddsfrågor, inte minst inom försäkringsbranschen, som ofta hanterar känsliga personuppgifter, hälsouppgifter, och uppgifter om brott. Enligt en studie från Handelshögskolan [3] framgår att av 13 undersökta ageranden hos företag är det bara bristande kontroll av underleverantörers eventuella användande av barnarbete som kunder reagerar mer negativt på än bristande dataskydd. Så att följa GDPR, även om vissa delar är onödigt byråkratiska, medför nog nöjdare kunder, vilket bör kunna innebära ökade aktievärden.
[1] Förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.
[2] Prop. 2017/18:105 sidan 100.
[3] Undersökningen som publicerats i boken ”Risker och riskhantering i näringsliv och samhälle” (Wahlund 2016) är en del av ett samarbetsprojekt mellan forskare vid Handelshögskolan och KPMG där forskarna studerat hur olika grupper – allmänhet, aktieägare och personal – reagerar på företags ageranden som kan uppfattas som oetiska eller etiska.