IT-rätt
IT-rätt innefattar det juridiska området där informationsteknik (IT) och juridik samspelar. IT-rätten är tvärjuridisk på så vis att den omfattar flera olika rättsområden och i olika och nya kombinationer. Såväl rättstillämpning som normgivning äger allt oftare rum i digitala miljöer. Det kan röra sig om automatiserad databehandling, dokumentation och kommunikation som sker i elektronisk form och ökad internationalisering. IT-rättens kärna kan sägas vara rättens digitalisering, personuppgiftslagstiftning (GDPR) och informationssäkerhet.
Rättens digitalisering
Det är fler och fler avtal som ingås digitalt, med elektroniska dokument och digitala underskrifter. Detsamma gäller beslut från myndigheter som skickas ut digitalt och även i vissa fall tas automatiskt utan att någon fysisk person står bakom besluten. Företag och privatpersoner sköter och lagrar allt mer dokument digitalt, vilket ställer andra krav än tidigare på informationssäkerhet och personuppgiftsbehandling.
Informationssäkerhet
Informationssäkerhet handlar om att på olika sätt skydda den digitala informationen från olika typer av intrång. Det kan handla om tekniska hjälpmedel såsom brandväggar, kryptering och virusprogram, samt administrativa åtgärder såsom riskanalyser och klassificering. Då det inom de flesta verksamheter och myndigheter finns personuppgifter lagras är det viktigt att dessa skyddas från obehöriga. Inte minst gäller dessa sekretessbelagda uppgifter enligt offentlighets- och sekretesslagen. Även för verksamheter som handhar företagshemligheter är det av yttersta vikt att dessa uppgifter hålls skyddade, då det annars kan leda till skadestånd eller straff.
Dataskydd och hantering av personuppgifter (GDPR)
Dataskyddsförordningen (GDPR) reglerar hur personuppgifter får behandlas och har till syfte att skydda enskilda grundläggande rättigheter och friheter, däribland deras rätt till skydd av personuppgifter. Med personuppgifter menas uppgifter som direkt eller indirekt kan knytas till en levande person. Det kan vara allt från namn och personnummer till bilder och ljudinspelningar. Enligt GDPR får personuppgifter inte behandlas eller lagras utan rättslig grund, vilket kan vara exempelvis samtycke eller för att fullgöra ett avtal. Behandling av känsliga personuppgifter, exempelvis som avslöjar ras eller etniskt ursprung, uppgifter om hälsa eller politiska åsikter, är som huvudregel förbjuden. Det finns dock en rad undantag, exempelvis om den enskilde lämnat sitt samtycke eller att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Den enskilde har enligt GDPR alltid rätt att begära att personuppgifterna raderas, vilket också brukar kallas ”rätten bli bortglömd”. Den som anser att behandlingen av hans eller hennes personuppgifter strider mot GDRP kan vända sig till integritetsskyddsmyndigheten (IMY) och kan även ha rätt till skadestånd. Om en myndighet behandlat personuppgifter i strid med GDPR kan sanktionsavgifter på upp till 10 000 000 SEK meddelas. För företag kan sanktionerna bli ännu högre, då den maximala sanktionsavgiften får uppgå till 20 miljoner euro eller fyra procent av ett bolags globala årsomsättning.
Gällande personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Alla organisationer som inte kan påvisa att det är osannolikt att en personuppgiftsincident kommer att medföra en risk för fysiska personers rättigheter och friheter, måste anmäla incidenten till IMY utan onödigt dröjsmål. Om möjligt ska anmälan ske inom 72 timmar från att organisationen blivit medveten om personuppgiftsincidenten.
Rådgivning inom IT-rätt
Vill du begära att dina personuppgifter blir raderade eller har er verksamhet drabbats av en personuppgiftsincident? Varmt välkommen att kontakta oss på Juridium om ni behöver hjälp eller rådgivning inom IT- och dataskyddsfrågor.