laptop-2567809_1920

GDPR – Är ni redo för den nya dataskyddsförordningen?

Dataskyddsförordningen GDPR

Den 25 maj 2018 kommer Dataskyddsförordningen eller GDPR –  General Data Protection Regulation att träda i kraft för samtliga av EUs medlemsländer. GDPR är en ny skyddsförordning som ska gälla för alla myndigheter, företag och organisationer som hanterar personuppgifter, säljer varor eller tjänster, samlar och analyserar data som är bunden till medborgarna inom den Europeiska Unionen.

GDPR gäller som lag i samtliga av EU:s medlemsländer och ställs därför över nationella lagar och regler. Det betyder att GDPR kommer ersätta den svenska personuppgiftslagen (PuL). Det innebär också en hel del förändringar för de företag och myndigheter som idag behandlar personuppgifter. Reformen innefattar två rättsakter, men den mest centrala är behandling av personuppgifter generellt. Utöver det finns ett direktiv om personuppgiftsbehandling som utförts av brottsbekämpande verksamheter.

Syftet med den nya reformen är att skydda fysiska personer oavsett hemvist. Den nya reformen värnar om grundläggande rättigheter och friheter för fysiska personer. Dataskyddsförordningen tillåter, och förutsätter i vissa fall, att medlemsstaterna kompletterar med nationell lagstiftning. Det pågår för närvarande omfattande utredningar om hur svensk lag ska anpassas till den nya förordningen. Det kommer att publiceras lagförslag som har stor betydelse för hur den nya reformen kommer tillämpas i Sverige.

Vem gäller det här för?

Behandlar du kundregister, ett löne- eller personalregister, hanterar du i andra sammanhang personuppgifter, det vill säga uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som kan hänföras till en särskild person? Då innefattas du av den nya skyddsförordningen. GDPR gäller för alla som behandlar personuppgifter, både när du själv bestämmer över behandlingen som personuppgiftsansvarig och när du utför det på uppdrag av någon annan som personuppgiftsbiträden.

Mycket kommer likna de regler som finns i PuL idag. På samma sätt som tidigare får du behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller en intresseavvägning till exempel. Du kommer fortsatt ha rätt att begära ut information om den personuppgiftsbehandling som sker. Dina personuppgifter som du lämnat ifrån dig ska skyddas med tillräckliga säkerhetsåtgärder för att garantera din trygghet.

Viktiga nyheter enligt Datainspektionen

  • Dataportabilitet – Uppgifter som du själv lämnat, vilka har behandlats med stöd av samtycke/eller för att uppfylla ett avtal ska kunna begäras ut för överföring till annan tjänst.
  • Konsekvensbedömning – Är det en personuppgiftsbehandling som innebär särskilda risker ska en bedömning göras av vilka konsekvenser behandlingen kan få och de åtgärder som behövs för att minska riskerna.
  • Anmälan om personuppgiftsincident – Om en säkerhetsincident inträffar med oavsiktlig förlust av uppgifter måste det anmälas till Datainspektionen inom 72 timmar. Även de registrerade kan behöva informeras.
  • Dataskyddsombud – De organisationer; myndigheter som behandlar känsliga uppgifter måste utse en person som har till särskild uppgift att bevaka dataskyddsfrågor.
  • Sanktionsavgift – Datainspektionen kan komma att utdöma en sanktionsavgift för de som bryter mot förordningens regler. Vad avgiften blir bedöms utifrån ett par olika aspekter, hur grovt överträdelsen anses vara.
  • Missbruksregeln – Idag finns en förenklad regel för hur behandling av personuppgifter i löpande text eller enkla listor får hanteras, Missbruksregeln. Det innebär att du får behandla uppgifter i vissa situationer, så länge det inte är kränkande för någon. Den här regeln försvinner när GDPR träder i kraft och behandlingen måste följa skyddsförordningens regler.

Viktiga nyheter enligt Microsoft

Även Microsoft har listat hur de uppfattar de huvudsakliga förändringarna med den nya skyddsförordningen. De har delat in förändringarna under fyra rubriker.

Personlig integritet. Individer har rätt till:

  • Att få tillgång till sin personliga information
  • Att rätta fel i sin personliga information
  • Att radera sin personliga information
  • Att veta syftet med hanteringen av den personliga informationen
  • Att exportera sin personliga information

Kontroll och rapporteringsansvar. Organisationer har ett ansvar att:

  • Skydda personlig information med hjälp av lämpliga säkerhetsåtgärder
  • Meddela myndigheter (Datainspektionen) om personlig information läckt ut
  • Ha lämpligt medgivande för hantering av personlig information
  • Ha dokument/information som beskriver hur de behandlar data

Policys för transparens.  Organisationer är skyldiga att:

  • Ge klar och tydlig information om datainsamling
  • Beskriva syftet med insamlingen och ge exempel
  • Definiera datalagring och borttagningspolicy

IT och utbildning. Organisationer har ett ansvar att:

  • Utbilda personalen i dataskyddsfrågor
  • Granska och uppdatera sin datapolicy
  • Anställa en ansvarig för datahantering/skyddsfrågor (vid behov)
  • Skapa och hantera kompatibla leverantörskontrakt

Sammanfattning

Det här är ett par av nyheterna som kommer med den nya dataskyddsreformen. Den övergripande tanken uppfattar vi är att tydligare betona organisationernas ansvar för att följa den nya förordningen (ansvarsskyldighet) och att kunna påvisa att organisationen följer den, alltså visa HUR ni följer den. Svaret skulle kunna vara att skapa en dataskyddspolicy och att så långt som möjligt bygga in integritetsvärdiga lösningar i era system. Microsoft beskrev förändringen i stora drag så här:

  • Striktare kontroll över var personlig information samlas och hur den ska hanteras
  • Bättre datahanteringsverktyg för bättre transparens, journalföring och rapportering
  • Förbättrade datapolicys för att ge trygghet till de registrerade och säkerställa individerna om en laglig hantering av den personliga informationen

All information i det här inlägget kommer från datainspektionens hemsida HÄR och Microsofts sida för den nya reformen HÄR. Under dessa sidor finns mycket bra information att hämta. På Microsofts sida kan ni även testa hur er organisation förhåller sig till den nya skyddsförordningen idag.

Disclaimer

Det här är en kort inledning till den nya skyddsförordningen. Här finns enormt mycket mer information att läsa om. Vi vill poängtera att det här inlägget är vår tolkning av den nya förordningen vid dagens datum 2017-08-23, och den är sammanfattad utifrån de texter vi tagit del av. Se det som ett informationsinlägg. Det finns aspekter i den nya förordningen som ännu ej är färdigformulerade och vi kommer med all säkerhet få anledning att återkomma till det här ämnet inom en snar framtid.

I grunden tycker vi att det här är ett bra initiativ och egentligen inget konstigt. Tydligare riktlinjer och en skyldighet att kunna påvisa hur företag behandlar personlig information borde skett tidigare. Ansvaret ligger alltid hos företaget självt vilket gör att det inte går att skylla på någon annan när den nya förordningen trätt i kraft. Ett tips är att inte vänta för länge med att läsa på och anpassa sig till de nya reglerna. Om ni drar ut på det kommer ni i maj 2018 att ha en stressig månad.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *