Är ni redo för nya Dataskyddsförordningen?

Dataskyddsförordningen | Marginalen Bank

Denna gång tipsar Karl Bertrandt (Jurist på Marginalen Core) om den nya Dataskyddsförordningen och berör några av många viktiga förändringar. 

Har ni börjat förbereda er för den nya Dataskyddsförordningen?

EU:s nya dataskyddsförordning ” General Data Protection Regulation” (GDPR) träder i kraft den 25:e maj 2018. Den syftar till att medlemsländerna i EU skall få en gemensam lag gällande dataskydd och ersätter tidigare lagstiftning, som den svenska personuppgiftslagen.

Vilka omfattas av den nya lagen?

Den kommer att påverka alla företag, organisationer, föreningar och myndigheter m.m. som hanterar personuppgifter eller annan känslig information om sina kunder eller sina anställda.

Så här definierar Datainspektionen en personuppgift enligt personuppgiftslagen:

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

Nyheter för bolag m.fl. som registrerar personuppgifter

Den nya lagen ställer betydligt högre krav på all hantering av personuppgifter.  De företag som inte följer reglerna kan drabbas av sanktioner och viten upp till 4 % av moderbolagets globala omsättning.

För företag som hanterar privat information kommer den nya lagen innebära tuffa utmaningar om företagen inte redan i dag har tydliga och väl utarbetade rutiner kring hur man samlar in och registrerar uppgifter.

Enligt de nya reglerna blir företag även skyldiga att informera de personer som berörs av t.ex. ett dataintrång. Om det rör sig om en allvarligare incident måste Datainspektionen informeras senast inom 72 timmar. Det kan t.ex. röra sig om att uppgifter har läckt ut och att det är fara för att personerna utsätts för diskriminering, id-stöld, bedrägeri eller finansiella förluster.

Företagen är även skyldiga att utföra s.k. konsekvensanalyser om de planerar att använda information och personuppgifter på ett sätt som kan innebära en risk för vissa personer. I vissa fall kommer företagen även behöva kontakta Datainspektionen om att utföra en kontroll som bekräftar att de hanterar den känsliga informationen på ett korrekt sätt.

Den s.k. ”missbruksregeln” som idag tillåter att företag kan behandla personuppgifter i ostrukturerat material (t.ex. publicering av personuppgifter på en webbplats eller i löpande text) försvinner i och med förordningen. 

Nyheter för privatpersoner

Lagen stärker privatpersoners rätt till skydd rejält. Kraven på hur företag och organisationer hanterar privata uppgifter skärps och möjligheten för privatpersoner att neka företag, och myndigheter m.fl. att använda deras uppgifter ökar. De nya reglerna är bättre anpassade till hur privatpersoner i dag använder sig av och kommunicerar via olika it-tjänster och datamedia. Det kommer också nya regler som stärker individens ”rätt att bli glömd” d.v.s. utökade regler kring hur personer kan få information raderad från sökmotorer och olika sajter.

Även möjligheten till ”dataportabilitet” d.v.s. möjligheten att flytta personuppgifter mellan olika sociala nätverk stärks. Privatpersoner skall få mer insyn om hur bolag och andra hanterar deras personuppgifter och det skall bli lättare att utöva sina rättigheter.

Förberedelsearbete

I större företag och organisationer kan en anpassning till dataskyddsförordningen kräva omfattande anpassningar för budget, it-system, personal, styrning och kommunikation. Det krävs också en planering inför detta och att ni börjar ert förberedelsearbete i tid. Nedan följer ett par frågeställningar som förhoppningsvis kan hjälpa er i gång med förberedelsearbetet.

Frågor att ta ställning till i förberedelsearbetet:  

  1. Se till att beslutsfattare och nyckelpersoner inom er organisation får vetskap om den nya dataskyddsförordningen (Datainspektionen har bra information på sin hemsida). Har ni någon som ansvarar för dataskydd?
  2. Fundera kring hur ni kommer att påverkas och vilka frågor ni måste arbeta med.
  3. Se till att ni börjar fundera på vilka personuppgifter ni hanterar och hur ni hanterar och förvarar dessa. Vilka delar av er organisation hanterar personuppgifter?  
  4. Fundera kring vilken information ni idag lämnar till registrerade och vilka förändringar som ni kan behöva göra.
  5. Hur skall ni tillvarata de registrerades rättigheter och har ni rutiner för detta t. ex när det gäller att radera personuppgifter. Har ni rättsligt stöd för er hantering.
  6. Hur skall ni arbeta för att förhindra incidenter med t.ex. läckage och hur skall ni rapportera sådana incidenter?
  7. Har ni ett anpassat systemstöd och har ni tillräcklig it-säkerhet?
  8. Hur lägger ni upp och planerar ert förberedelsearbete?

 

Informationen beskriver en del av det som följer av förordningen men utgör inte en uttömmande beskrivning och utgör inte heller någon rådgivning. Vill du veta mer så hänvisar vi dig till Datainspektionens hemsida www.datainspektionen.se