Alla publikationer

Påverkar GDPR er möjlighet till framgång i rättsliga tvister?

Marita Gröndahl, Counsel på Delphi, skriver om hur GDPR kan påverka bevisning vid rättsliga tvister.

Det har alltid varit ett bekymmer för företag som varit involverade i rättsliga tvister när företaget inte har haft dokumentation av betydelse för tvisten bevarad eller inte har haft sådan dokumentation bevarad på ett hanterligt och överskådligt sätt. Bristfällig dokumentation medför ökad risk för att parten inte i domstol kan bevisa de omständigheter som är av betydelse för att vinna en tvist. Bristfällig dokumentation leder också regelmässigt till onödigt höga rättegångskostnader bestående av kostnader för att eftersöka och skapa ordning i den dokumentation som är bevarad.

Utöver innehållet i undertecknade avtal och kopior av fakturor är det i en rättslig tvist ofta av intresse att utreda innehållet i ett avtal genom att visa hur avtalet kom till. Korrespondens mellan parterna som visar vilken part som föreslagit ändringar i avtalet och anledningen till detta kan således vara av stor betydelse. Även korrespondens under utförandet av t ex en tjänst som utvisar överenskommelser om ändrat utförande och på vilken parts initiativ dessa vidtagits kan vara av stor betydelse.

I dagens samhälle återfinns intressant dokumentation ofta i enskilda medarbetares e-postkorgar. Som ombud i rättsliga tvister har man otaliga gånger mötts av beskedet från enskilda medarbetare att de påhejade av IT-avdelningen på företaget raderar all e-postkorrespondens som är t ex tre eller sex månader gammal. Vidare är det vanligt att tidigare medarbetares e-postkorgar inte längre är tillgängliga efter det att medarbetaren slutat på företaget.

Även i det fall när det är bekant för ledningen att det föreligger en tvist eller risk för tvist förefaller det vara sällan några aktiva åtgärder tas för att säkra att e-postkorrespondens inte raderas av enskilda medarbetare.

I och med ikraftträdandet av dataskyddsförordningen (GDPR) i maj 2018, med hot om kännbara böter för företag som begår överträdelser av förordningen, kan man som processande advokat inte låta bli att misstänka att städivern har stärkts i vissa organisationer genom att företagen internt meddelar generella riktlinjer att inte spara korrespondens och dokument längre än viss tid. GDPR innehåller som bekant både regler för när personuppgifter (t ex namn och kontaktuppgifter) får samlas in och hur länge de får sparas innan de ska raderas.

På Datainspektionens hemsida återfanns i samband med införandet av GDPR följande text. ”En viktig regel i förordningen är att man inte får spara personuppgifter för länge. När de inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. För ett företag innebär det till exempel att uppgifter om personer som inte längre är kunder (eller leverantörer) måste tas bort från IT-systemen.”

Datainspektionen har tidigare som en tumregel angett att ”personuppgifter om en tidigare kund i normala fall får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört. Om du som säljare behöver kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter bevaras tills garantin har gått ut.”

Även om inga garantier har lämnats i det enskilda fallet kan det finnas behov av att spara dokumentation rörande kunden och dennes kontaktpersoner i form av t ex e-postkorrespondens mellan parterna rörande ingående av avtal mellan parterna, fullgörande av leveranser mm. Denna dokumentation bör då sparas i form av en separat akt i IT-systemet rörande kundrelationen.

Omständigheter rörande vissa typer av avtalsrelationer kan komma att få betydelse lång tid efter att kundrelationen avslutats, då tvist kan uppstå långt senare när fel upptäcks vid t ex försäljning av fastigheter och avseende utförda entreprenader. Härvid ska särskilt betänkas att beträffande entreprenader utförda för privatpersoner föreligger enligt konsument-tjänstlagens tvingande regler ansvar för entreprenören under en period om tio år efter färdigställandet.

Enligt GDPR ska som regel varje personuppgiftsbehandling stödjas på endast en rättslig grund (t ex samtycke eller intresseavvägning mellan parternas intressen). Det är viktigt att tänka på att det inte går att byta rättslig grund under en pågående personuppgifts-behandling, dvs om ett samtycke tas tillbaka får man inte istället stödja sig på intresseavvägning för samma personuppgiftsbehandling. Det är därför viktigt att vara tydlig med varför ni tänker behandla personuppgifter och endast välja en rättslig grund för en viss personuppgiftsbehandling.

Personuppgifter får vidare bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Detta innebär att uppgifter som samlas in för ett visst syfte, inte sedan får användas för helt andra syften. Personuppgiftsbehandlingen kan däremot ha flera parallella ändamål. Dessa bör dokumenteras i företagets integritetspolicy.

Något samtycke kommer med största sannolikhet inte kunna inhämtas från motparten i en potentiell eller pågående tvist varför den som sparar personuppgifter kommer att behöva lita till en intresseavvägning enligt dataskyddsförordningens regler innebärande att den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet, t ex att tillvarata företagets egna intressen vid en potentiell tvist. Dock ska beaktas att i den mån de aktuella personuppgifterna innehåller sk känsliga personuppgifter, t ex uppgifter om sjukdomar, religiös tillhörighet eller politiska övertygelser gäller mer restriktiva regler, varför särskild aktsamhet bör iakttagas.

Det gäller således att tänka till både ur ett rättegångsperspektiv och ur ett GDPR perspektiv både när man sparar och/eller verkställer rensningar av dokumentation innehållande personuppgifter samt att i möjligaste mån tillse att företagets integritetspolicy omfattar den behandling av personuppgifter som är önskvärd för att företaget ska kunna tillvarata sina intressen vid en eventuell framtida tvist.