Den nya dataskyddsförordningen (GDPR) ersätter Personuppgiftslagen

6 MIN. READ

Den nya dataskyddsförordningen (GDPR) ersätter Personuppgiftslagen och ska börja tillämpas den 25 maj 2018.

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. EU vill skapa en tillit till dataskyddet inom den inre marknaden, vilket i sin tur möjliggör utveckling av den digitala ekonomin. Den nya förordningen ställer dock stora krav på den som behandlar och registrerar personuppgifter, vilket kräver att företag och organisationer tar den på allvar.
Det är därför hög tid för personuppgiftsansvariga att se över sin organisation och sitt dataskydd.

5 snabba fakta om GDPR

GDPR är en tvingande förordning och ersätter personuppgiftslagen PUL.Roarings tjänst Person API hjälper er att följa de nya GDPR reglerna.
Brott mot GDPR kan ge mycket dryga böter.
Ett av kraven i GDPR är att lagrade personuppgifter måste vara korrekta.
Roaring hjälper dig att alltid ha korrekta personuppgifter.
General Data Protection Regulation (GDPR) införs i hela EU 2018.

Påverkan

GDPR kommer sannolikt att påverka ditt företag och hur ni gör affärer. Bryter man mot lagen kan det ge böter på motsvarande 4 % av årsomsättningen eller upp till 20 miljoner Euro.

Införande

General Data Protection Regulation (GDPR) införs i hela EU 2018 för att stärka konsumenters dataskydd och för att skapa enhetliga regler inom hela EU. GDPR kommer att påverka alla företag och organisationer som verkar inom EU. GDPR är en EU-förordning och kommer direkt att vara överordnad alla nationella lagar inom samma område. I Sverige ersätter GDPR vår nuvarande nationella lag PUL (Personuppgiftslagen).

Reglering

GDPR reglerar hur företag och organisationer ska behandla personuppgifter och cybersäkerhet.
Ett krav i den nya lagstiftningen är kravet att lagrade personuppgifter ska vara korrekta. Med Person API från Roaring kan du säkerställa att dina kunduppgifter alltid är korrekta när de registreras.

Tips till på hur arbetet för att uppfylla de nya kraven kan läggas upp:

Sanktionera och avsätt tid och en budget för dataskyddsfrågorna
Informera och utbilda inom organisationen. Anpassa utbildningen efter behov, alla behöver inte kunna allt.
Kartlägg all hantering av personuppgifter och era dataflöden för respektive behandling
Gör en juridisk utvärdering och en nulägesanalys i förhållande till de nya kraven
Prioritera och ta fram åtgärdsplaner utifrån nulägesanalysen
Åtgärda era problem och de områden där ni inte lever upp till tillämplig reglering
Ta fram styrande dokument och utveckla rutiner, se till att samtliga anställda är medveten om dessa
Förvalta och uppdatera rutiner, styrdokument och register vid behov
Se till att ha bra möjligheter till dokumentation, företrädesvis skriftlig
Se över alla informationstexter och biträdesavtal

Emma Lilja Sjödin Legal Counsel , Legal Works

Roarings partner LegalWorks listar de 10 största förändringarna i den nya förordningen:

1. Den enskildes rättigheter förstärks på en rad punkter. Till exempel:

Samtycket: Samtycket ska vara tydligare, lätt att hitta och skrivet på ett lättbegripligt språk. Observera att en förifylld ruta för samtycke inte räcker.
Information: De registrerade ska få mycket mer information om behandlingen av personuppgifter än tidigare, vilket innebär att de allra flesta personuppgiftsansvariga måste skriva om sina informationstexter till både kunder och anställda.
Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att de raderas.
Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).

2. Skyddet för barn utökas

Viss registrering av barn (16 år) kommer att kräva målsmans godkännande. Detta blir aktuellt vid till exempel köp av appar, registrering på sociala medier etc. Medlemsstaterna får dock sänka denna åldersgräns ända ner till 13 år, vilket det svenska lagförslaget har valt att göra. Lagförslaget förväntas antas i december 2017.

3. Missbruksregeln försvinner

Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras, lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.

4. Dataskyddsombud

Myndigheter, offentliga organ och organisationer vars kärnverksamhet är särskilt integritetskänslig (t.ex. de som gör profileringar eller registrerar särskilt känslig information i stor omfattning) måste utse ett så kallat dataskyddsombud. Dataskyddombudet ska bland annat:

Utses baserat på sina yrkesmässiga kvalifikationer och ha särskild kunskap inom dataskydd.
Ha som uppgift att informera om dataskyddsfrågor i sin organisation
Ska konsulteras när man gör dataskyddsanalyser och IT-inköp.
Revidera hanteringen av personuppgifter kontinuerligt.
Fungera som kontaktperson mot de registrerade och dataskyddmyndigheten, vilket i Sverige är Integritetsskyddsmyndigheten.
Rapportera direkt till högsta förvaltningsnivå, utan mellanled.
Få tillräckliga medel för att kunna utföra sina arbetsuppgifter och inte utsättas för sanktioner eller avsättas för att denne utför sina arbetsuppgifter.
Inte få några instruktioner om hur arbetet ska skötas och vad som ska göra.

5. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.

6. One stop shop

Företag behöver endast vända sig till en (1) tillsynsmyndighet inom EU istället för att vända sig till alla berörda tillsynsmyndigheter, som det ser ut idag. Tillsynsmyndigheterna ska sedan på eget initiativ samarbeta med varandra vid behov. En registrerad kan alltid vända sig till tillsynsmyndigheten i hemlandet.

7. Sanktionsavgifter

GDPR fastställer att sanktionsavgifter kan påföras vilka kan uppgå till 20 miljoner EUR eller 4% av den totala globala årsomsättningen. Denna nya regeln har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.

8. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:

Det blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga
Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.
Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar
Kan drabbas av sanktionsavgifter och förelägganden från Integritetsskyddsmyndigheten
Kan behöva revidera sina tjänstevillkor eftersom kraven på hur biträdesavtalet ska se ut, utökas
Behöver se över systemen så att de uppfyller kraven på privacy by design och privacy by default

Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera exempel tvistelösning, regressrätt och uppsägning.

9. Privacy by design och privacy by default

Den nya förordningen ställer krav på ett kontinuerligt säkerhetstänk vid design av systemen. Säkerhetsnivån ska vara anpassad efter risk- och hotbilden för personuppgifterna och vara en integrerad del av systemen redan från början. Utöver detta gäller det att systemen och behandlingen av personuppgifter är proaktiva vad gäller dataskydd, till exempel är det viktigt att man endast registrerar sådana personuppgifter som är nödvändiga för ändamålet med behandlingen. Detta kräver en bra kartläggning av på vilka sätt ni behandlar personuppgifterna för att säkerhetsdesignen och funktionerna ska passa både förordningen och syftet med er behandling.

10. Anmälningsplikt avseende personuppgiftsincidenter

Den nya förordningen fastställer att den personuppgiftsansvariga har ett ansvar att dokumentera alla personuppgiftsincidenter och, såvida det inte är osannolikt att den medför en risk för de registrerades rättigheter och friheter, även anmäla incidenterna till Integritetsskyddsmyndigheten. Vilka incidenter som ska anmälas, ska vi få mer information om från Integritetsskyddsmyndigheten under våren.

Läs mer om GDPR på LegaWorks webbplats

Cookie	Varaktighet	Beskrivning
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	1 year	No description
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Varaktighet	Beskrivning
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
messagesUtk	5 months 27 days	HubSpot sets this cookie to recognize visitors who chat via the chatflows tool.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Varaktighet	Beskrivning
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_THG7SPKD18	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_84002038_1	1 minute	Set by Google to distinguish users.
_gat_UA-84002038-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
nQ_cookieId	1 year	Albacross sets this cookie to help identify companies for better lead generation and more effective ad targeting.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Varaktighet	Beskrivning
_hjSession_2735549	30 minutes	No description
_hjSessionUser_2735549	1 year	No description
AnalyticsSyncHistory	1 month	No description
cookielawinfo-checkbox-advertisement	1 year	No description
cookielawinfo-checkbox-necessary	1 year	No description
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
li_gc	5 months 27 days	No description
nQ_userVisitId	30 minutes	No description available.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
cookielawinfo-checkbox-advertisement	1 year	No description
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.

Den nya dataskyddsförordningen (GDPR) ersätter Personuppgiftslagen och ska börja tillämpas den 25 maj 2018.

5 snabba fakta om GDPR

Vad innebär?

Påverkan

Införande

Reglering

Tips från juristen!

Roarings partner LegalWorks listar de 10 största förändringarna i den nya förordningen:

1. Den enskildes rättigheter förstärks på en rad punkter. Till exempel:

2. Skyddet för barn utökas

3. Missbruksregeln försvinner

4. Dataskyddsombud

5. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

6. One stop shop

7. Sanktionsavgifter

8. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

9. Privacy by design och privacy by default

10. Anmälningsplikt avseende personuppgiftsincidenter

Newsletter signup

Den nya dataskyddsförordningen (GDPR) ersätter Personuppgiftslagen och ska börja tillämpas den 25 maj 2018.

5 snabba fakta om GDPR

Vad innebär?

Påverkan

Införande

Reglering

Tips från juristen!

Roarings partner LegalWorks listar de 10 största förändringarna i den nya förordningen:

1. Den enskildes rättigheter förstärks på en rad punkter. Till exempel:

2. Skyddet för barn utökas

3. Missbruksregeln försvinner

4. Dataskyddsombud

5. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

6. One stop shop

7. Sanktionsavgifter

8. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

9. Privacy by design och privacy by default

10. Anmälningsplikt avseende personuppgiftsincidenter