Riskfördelning mellan personuppgiftsansvarig och personuppgiftsbiträde : -En analys inför ikraftträdandet av GDPR

Sammanfattning: GDPR träder i kraft den 25 maj 2018. Syftet med förordningen är bland annat att säkerställa en hög och likvärdig skyddsnivå för enskilda individers fri- och rättigheter avseende personuppgiftsbehandling. Mot bakgrund av att implementeringen av dataskyddsdirektivet, vilken i skrivande stund fortfarande utgör gällande rätt, inte har levt upp till förväntningarna, synes den europarättsliga lagstiftaren ha avsett att ”strama åt tyglarna” med GDPR. Personuppgiftsansvariga åläggs nya skyldigheter. Vidare föreskriver GDPR att personuppgiftsbiträden kan åläggas skadeståndsskyldighet i samma utsträckning som personuppgiftsansvariga. Härutöver implementeras en ny sanktion: administrativa sanktionsavgifter. Dessutom synes de strängare kraven på biträdesavtalets innehåll medföra ett behov för personuppgiftsansvarig och personuppgiftsbiträde att revidera aktuella biträdesavtal för att säkra överenstämmelse med GDPR. Den nya förordningen tycks förorda att personuppgiftsansvarig och personuppgiftsbiträde tillämpar en s.k. riskbaserad strategi. När en risk identifierats, ska denna utvärderas och hanteras på ett i enlighet med GDPR erforderligt vis. Det finns sålunda incitament för personuppgiftsansvarig och personuppgiftsbiträde att vidta risk management-åtgärder i den egna verksamheten, men även i förhållande till en eventuell motpart i ett avtalsförhållande. Förevarande uppsats tillhandahåller förslag på hur den ökade riskexponeringen kan hanteras i enlighet med GDPR och svensk rätt. Uppsatsen behandlar, utöver GDPR i sig, även hur GDPR passar in det svenska rättssystemet i stort och vilka rättsområden som påverkar möjligheten för personuppgiftsansvarig och personuppgiftsbiträde att avvika från GDPR:s riskfördelning. Ett första steg mot en lyckad övergång från dataskyddsdirektiv-överenstämmelse till GDPRöverenstämmelse är givetvis att vara införstådd i det nya regelverket. Nästa steg är att identifiera vilka risker som ikraftträdandet av GDPR medför och huruvida en eller flera av dessa risker kan äventyra verksamheten. När förståelse för regelverket och insikt om riskerna har erhållits, bör personuppgiftsansvarig och personuppgiftsbiträde rikta sitt intresse mot risk management, det vill säga vad nyss nämnda aktörer kan göra för att hantera de identifierade riskerna. Önskar personuppgiftsansvarig eller personuppgiftsbiträdebiträde avvika från GDPR:s riskfördelning med en ansvarsfriskrivning, tillhandahåller uppsatsen information om under vilka premisser en ansvarsfriskrivning kan äga giltighet. GDPR:s regelverk är komplext. Av förklarliga skäl saknas det rättspraxis på området. Utan vägledning från EU-domstolen, är det nödvändigt att åtminstone reflektera och försöka dra slutsatser om vad som komma skall. Det finns inget ”rätt svar” på vad framtiden har att utvisa, vilket förvisso känns betryggande för en snart nyexaminerad affärsjurist, som presenterar ämnet. Anpassningen till GDPR fortgår. Under tiden väljer undertecknad att instämma med de sakkunniga som försökt uttala sig om det i uppsatsen behandlade spörsmålet: det återstår att se hur rättspraxis utvecklas.