Något om förändringarna till följd av den nya dataskyddsförordningen 35

Den nya dataskyddsförordningen är omfattande och innebär utökade rättigheter för enskilda och skärpta krav för företag. Kraven medför att företagen måste fatta interna beslut och vidta åtgärder för att säkerställa att den kommande regleringen efterlevs för att undvika eventuella sanktioner. Förordningen har tillkommit på grund av ett ökat behov av skydd för den personliga integriteten till följd av dels globaliseringen, dels den ökade digitaliseringen. Även målet att skapa en enhetlig reglering inom EU torde ligga bakom det nya regelverket.165 Banksektorn står, tillsammans med många andra branscher, inför stora förändringar, och osäkerheten avseende hur dessa kommer påverka verksamheten torde vara betydande. Datainspektionen har uppmanat samtliga som hanterar personuppgifter att redan nu påbörja förberedelsearbetet för att anpassa verksamheten till den nya dataskyddsförordningen.

Dataskyddsförordningen har en starkare betoning på att företag endast får samla in uppgifter som de har ett legitimt intresse av.166 _{En bank måste således ha en berättigad anledning till att} efterfråga och samla in den specifika kundinformationen. Detta kan leda till intressekonflikter mellan bankernas behov av att samla in ytterligare information om kunden för att kunna skapa sig en korrekt bild av denne och den enskildes rätt till personlig integritet.167

En viktig förändring till följd av dataskyddsförordningen är det utökade kravet på vilken information som ska lämnas till den registrerade.168 Exempelvis ska det informeras om hur länge personuppgifterna lagras, möjligheten att lämna klagomål till tillsynsmyndigheten, vilken i Sverige är Datainspektionen, samt på vilken rättslig grund informationen samlas in.169 Den sistnämnda torde vara av stor betydelse eftersom flertalet av den registrerades rättigheter är beroende av vilken rättslig grund som föreligger. En behandling som sker med stöd av                                                                                                                

164 _{Europaparlamentets och rådets direktiv 2015/849/EU, art. 40, 2 kap. 13 § PTL samt SOU 2016:8 del 1, s.}

322-324.

165 _{Se exempelvis Europaparlamentets och rådets förordning (EU) 2016/679, beaktandeskäl (2), (6) och (7).} 166 _{Europaparlamentets och rådets förordning (EU) 2016/679, art. 5.1.}

167 _{Glynn, KYC vs Data Protection – The Next Compliance Hurdle, s. 6.} 168 _{Europaparlamentets och rådets förordning (EU) 2016/679, art. 13 och 14.}

intresseavvägning ger exempelvis större möjligheter för den registrerade att motsätta sig behandlingen. Vid insamling av kundinformation, som en del av kundkännedomsprocessen, kan banken stödja sig på intresseavvägning som en tillåtlighetsgrund. Det kan således vara nödvändigt att fundera över om det finns en legitim anledning för banken att samla in viss information, som väger tyngre än den enskildes rätt till personlig integritet.

Dataskyddsförordningen innebär även ett utökat krav för företag att dokumentera hur de hanterar kundernas personuppgifter. Detta innefattar vilken information företaget har tillgång till, vilka personer och funktioner som har tillgång till den samt i vilka system och databaser den finns. Datainspektionen kan utföra granskningar, och därmed är det av stor vikt att företaget har dokumentation som visar vilka åtgärder som har vidtagits och hur pass väl företaget lever upp till kraven i förordningen.170 Vid överträdelser kommer Datainspektionen kunna döma ut administrativa sanktionsavgifter med upp till 20 miljoner euro eller 4 % av organisationens totala globala årsomsättning.171 Detta torde framförallt innebära krav på ökad dokumentation för bankerna, vilket förutsätter anpassade interna system, rutiner och riktlinjer. Även utbildning av personal utgör en viktig del av arbetet med att anpassa verksamheten till de nya reglerna.

Det kommer även nya bestämmelser om hur en organisation ska agera i de fall den utsätts för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter som de behandlar. Alla sådana incidenter måste dokumenteras och, om det inte är osannolikt att incidenten medför en risk för enskildas fri- och rättigheter, anmälas till Datainspektionen inom 72 timmar efter att organisationen fått vetskap om den.172 _{Om incidenten sannolikt leder till att} den enskilde utsätts för allvarliga risker, exempelvis diskriminering, id-stölder, bedrägerier eller finansiella stölder, ska den registrerade informeras för att denne ska kunna vidta nödvändiga åtgärder.173 För att leva upp till förordningen kommer det krävas att bankerna har tillräckliga interna rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Även om det redan finns välfungerande system sedan tidigare, torde bankerna behöva säkerställa att dessa är anpassade till de nya kraven i dataskyddsförordningen och på så vis undvika eventuella sanktioner.

170 _{Europaparlamentets och rådets förordning (EU) 2016/679, art. 30.} 171 _{Europaparlamentets och rådets förordning (EU) 2016/679, art. 83.} 172 _{Europaparlamentets och rådets förordning (EU) 2016/679, art. 33.1.} 173 _{Europaparlamentets och rådets förordning (EU) 2016/679, art. 34.}

I den nuvarande personuppgiftslagen finns ett undantag för behandling av personuppgifter i ostrukturerat material, kallat missbruksregeln. Bestämmelsen tillåter behandling av personuppgifter i exempelvis löpande text, så länge behandlingen inte utgör en kränkning av den registrerades personliga integritet. 174 Missbruksregeln, vilken utgör en svensk särreglering, kommer inte att finnas kvar efter dataskyddsförordningens ikraftträdande och därmed behöver de organisationer som tillämpar undantaget idag undersöka vilka förutsättningar de har att behandla uppgifterna enligt förordningens bestämmelser.175

För att upprätthålla de enskildas integritetsskydd krävs ett proaktivt arbete, vilket ska ske genom att system för hantering av personuppgifter utformas utifrån ”Privacy by Design” (PbD), dvs. ett inbyggt integritetsskydd. Detta behandlas uttryckligen i dataskyddsförordningen, vari det ställs krav på lämpliga organisatoriska eller tekniska åtgärder, såsom pseudonymisering, i syfte att effektivt genomföra dataskyddsprinciper.176 Detta kommer troligtvis innebära stora utmaningar för bankerna, eftersom de måste se över sina nuvarande IT-system och säkerställa att dessa är anpassade till PbD, vilket är såväl tids- som resurskrävande.

174 _{5a § PUL.}

175 _{Datainspektionen, Förberedelser inför EU:s dataskyddsförordning – Vägledning till}

personuppgiftsansvariga, s. 4.

5. En analys av kundkännedomsreglerna i fjärde