Intervju med Johan Sundberg och Johan Thörn

Sök utbildningar

”95 % av alla företag i Sverige har inte interna resurser eller kunskap nog att hantera den nya dataskyddsförordningen”

3 maj 2016

johan sundberg johan törn 2016

Snabb intervju med arbetsrättsjuristerna Johan Sundberg och Johan Thörn om vad den nya dataskyddsförordningen kommer att innebära för svenska företag.

Under flera år har advokat Johan Sundberg varit en uppskattad föreläsare hos BG Institute. Han har arbetat med personuppgiftsfrågor i 15 år och är delägare vid Advokatfirma DLA Piper Sweden, där han leder firmans svenska grupp för personuppgiftsfrågor.

Johan Thörn är biträdande jurist på samma byrå och ny föreläsare hos BG Institute. Han började på byrån 2011 när han rekryterades från Uppsala universitet. Ett starkt teknikintresse ledde honom till att specialisera sig inom personuppgiftsfrågor – ett nog så snårigt område som snart kommer att få en ordentlig uppstramning.

Den nya dataskyddsförordningen kommer att träda ikraft den 25 maj 2018. Förordningen kommer att utgöra den största förändringen för företag vad gäller hantering av personuppgifter och dataskydd sedan PuL infördes 1998. Under 2016 föreläser de tillsammans med kursen Den nya dataskyddsförordningen.

Det är mycket tal om den nya dataskyddsförordningen, men vad kommer den reellt att innebära för företag? Vilka konsekvenser kan vi förvänta oss?

–  [Johan Sundberg] Rent praktiskt innebär det att företag måste ta dataskyddsfrågor på ett större allvar och få upp frågorna på ledningsnivå. Det kommer att ställas nya och betydligt mer omfattande krav på löpande bedömningar, interna kontroller och uppföljningar. Verksamheter behöver även göra en gap-analys för att bedöma vilka förändringar som måste genomföras inför att förordningen träder ikraft, både legalt sett och på den tekniska sidan. Om personuppgifter behandlas på ett felaktigt sätt efter ikraftträdandet kan företag åläggas administrativa sanktionsavgifter på upp till 4 % av omsättningen. Det innebär att de företag som tidigare bedömt att överträdelser av dataskyddslagstiftning inte utgör någon stor finansiell risk för verksamheten nu behöver ompröva sin inställning.

–  [Johan Thörn] Företag bör överväga att införa ett internt program för hantering av frågor om personuppgifter inom verksamheten för att säkerställa att företaget uppfyller de krav som dataskyddsförordningen uppställer.

Vad krävs för att kunna ha den typen av koll som ni pratar om? Finns inte den expertisen redan inom företaget?

– [Johan Sundberg] Jag skulle säga att 95 % av alla företag i Sverige inte har interna resurser eller kunskap nog att kunna hantera den nya dataskyddsförordningen. Vi möter det ständigt i vårt arbete. Personuppgiftsfrågor har helt enkelt inte varit prioriterade.

– [Johan Thörn] Dessutom finns det många tekniska aspekter att beakta. Dataskyddsförordningen innefattar bland annat en rätt till dataportabilitet, det vill säga en rätt att få ut alla uppgifter som företaget behandlar i ett, som förordningen anger, allmänt använt och maskinläsbart format. Man bör därför redan nu se över om företagets IT-system uppfyller de krav som förordningen uppställer. Eventuellt måste man upphandla nya system eller beställa systemanpassningar.

Vilka är det som bör utbilda sig i vad den nya förordningen innebär?

– [Johan Thörn] Bolagsjurister och compliance officers, PUL-ombud, informationsansvariga, säkerhetsansvariga och andra som utför eller ansvarar för det praktiska arbetet med personuppgiftsfrågor. Kursen är även av intresse för advokater och biträdande jurister.

– [Johan Sundberg] Alla företag behandlar personuppgifter på ett eller annat sätt, det här spänner över alla branscher.

Om du vill uppdatera dig i det nya regelverket och få rådgivning om hur du förbereder dig inför den nya dataskyddsförordningen – läs mer om Johan Sundberg och Johan Thörns kurs