[Hemsida] [Brf-direkt] [Skicka vykort] [Tipsa ditt nätverk]
Låt inte PUL ta företaget på sängen
Av Agne Lindberg och Mats Hansson - Dagens Industri - 2 maj 2001

Är ditt företag redo när PUL träder i kraft i höst? Förberedelserna tar tid, särskilt om direktreklam och kunddatabaser är viktiga inslag. För dem som inte börjat än är nu tiden knapp. Alla berörda ska informeras om syftet och samtycka aktivt - passiv registrering på webbplats räcker inte.

Tänk på att ett gott integritetsskydd också blir ett allt viktigare konkurrensmedel, skriver AGNE LINDBERG, advokat och ledamot av IT-kommissionens IT-rättstliga observatorium, och MATS HANSSON, jur kand, advokatfirman Delphi & Co.

De nya reglerna i personuppgiftslagen (PUL) börjar gälla fullt ut den 1 oktober i år. Det är hög tid för företag och myndigheter att se över rutiner, informera och inhämta samtycke från enskilda, besluta om personuppgiftsombud (PU-ombud) ska tillsättas med mera.

Gamla datalagen utgick från att staten var bäst lämpad att avgöra till vad våra personuppgifter skulle användas. PUL däremot utgår från motsatsen, nämligen att varje enskild individ avgör hur dennes personuppgifter får användas.

PUL baseras därför på att alla får information om ändamålet med behandlingen, och därefter samtycker till denna.

Personuppgiftsansvarig (PU-ansvarig) ska antingen anmäla varje behandling av personuppgifter till Datainspektionen, eller anmäla ett PU-ombud.

Inte minst är PUL viktig inom ramen för CRM (customer relations management), där mängder av personuppgifter av strategisk betydelse behandlas.

Vad är då viktigast att tänka på för att inte bryta mot PUL den l oktober?

1. Informationsplikt
PU-ansvarig är skyldig att informera den enskilde om ändamålet med behandlingen av personuppgifterna. (En förfrågan om den enskilde samtycker till behandling räcker inte!)

Utformningen av informationen är viktig, eftersom den anger ramarna för vad PU-ansvarig får använda personuppgifterna till. En illa genomtänkt information, som inte täcker alla de ändamål som PU-ansvarig vill behandla personuppgifterna för, kan leda till att denne måste informera och inhämta samtycke ytterligare en gång från alla registrerade.

2. Samtycke
Enligt PUL ska samtycket vara "otvetydigt", och PU-ansvarige har bevisbördan för att samtycke givits. Detta innebär i praktiken att det ska vara skriftligt.

PUL innehåller dock flera undantag från kravet på samtycke, till exempel för att fullgöra avtal. (Fördelen med att behandla personuppgifter enligt ett undantag är att samtycke inte behöver inhämtas, och att det inte finns något samtycke som kan återkallas.)

Ett annat viktigt undantag är att det efter en intresseavvägning framstår som klart att PU-ansvarigs intresse väger tyngre än kränkningen av den personliga integriteten, exempelvis för att förhindra eller minska skadan av en olycka.

Man bör dock komma ihåg att, även om behandlingen är tillåten eller ett samtycke har lämnats, så måste information lämnas.

3. PU-ombud/anmälan
Hantering av personuppgifter ska anmälas till Datainspektionen innan behandlingen påbörjas. Anmäls PU-ombud, behöver inte varje nytt personregister anmälas till Datainspektionen.

I stället ska då PU-ombudet agera internpolis och kontrollera att företaget behandlar personuppgifterna i enlighet med PUL, samt anmäla brister till ledningen. Sker inte rättelse är PU-ombudet skyldigt att anmäla detta till Datainspektionen.

Att vara PU-ombud ställer således krav på hög integritet! Likväl kan det vara en bra lösning i organisationer som har stor variation i sin databehandling, och där många anmälningar annars skulle behöva göras.

4. Internet
Publicering av personuppgifter på Internet är mycket tveksam. På en del hemsidor ges samtycke automatiskt genom att den enskilde registrerar sig eller dylikt (så kallat de-fault-läge).

Detta förfarande är dock inte acceptabelt! PUL kräver att samtycket är mer aktivt - till exempel genom klick i en ruta.

5. Direktreklamregister
Enskilda personer måste på begäran kunna raderas. Marknadsföringslagen har också ändrats så att det alltid finns en möjlighet för enskilda att göra en "opt-out", alltså tacka nej till fortsatt direktreklam via e-post. Rutiner för detta måste byggas in i systemet.

Det tar tid att ordna det praktiska för att få ett integritetsskydd som fungerar och följer lagen. Företag och myndigheter som inte påbörjat de praktiska åtgärderna med att informera och inhämta samtycken får svårt att hinna bli klara i tid.

Erfarenheten visar att en viss del av kunderna vägrar ge samtycke. Dessa måste antingen övertalas att ge samtycke (tidskrävande och dyrt) eller raderas före den l oktober.

Att få ett effektivt integritetsskydd handlar inte bara om att följa lagen. Integritetsskydd har i dag blivit ett konkurrensmedel. Kunder och samarhetspartners måste känna en tillit i att personlig information skyddas,

Detta är en av huvudanledningarna till att majoriteten av amerikanska e-handelsföretag har en integritetsskydds-policy som ofta går längre än PUL - detta utan lagkrav.

Det är dock vår uppfattning att Europa borde sträva efter att hitta en modell dar missbruk av personlig integritet regleras, i stället för all hantering av personuppgifter.

Agne Lindberg
Mats Hansson

Copyright
Tack besöket och välkommen åter!
Hemsida