Den nya dataskyddsförordningen (GDPR) ersätter Personuppgiftslagen och ska börja tillämpas den 25 maj 2018.

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. EU vill skapa en tillit till dataskyddet inom den inre marknaden, vilket i sin tur möjliggör utveckling av den digitala ekonomin. Den nya förordningen ställer dock stora krav på den som behandlar och registrerar personuppgifter, vilket kräver att företag och organisationer tar den på allvar.
Det är därför hög tid för personuppgiftsansvariga att se över sin organisation och sitt dataskydd.

 5 snabba fakta om GDPRRoaring GDPR
  • GDPR är en tvingande förordning och ersätter personuppgiftslagen PUL.Roarings tjänst Person API hjälper er att följa de nya GDPR reglerna.
  • Brott mot GDPR kan ge mycket dryga böter.
  • Ett av kraven i GDPR är att lagrade personuppgifter måste vara korrekta.
  • Roaring hjälper dig att alltid ha korrekta personuppgifter.
  • General Data Protection Regulation (GDPR) införs i hela EU 2018.

 

Vad innebär?

Påverkan

GDPR kommer sannolikt att påverka ditt företag och hur ni gör affärer. Bryter man mot lagen kan det ge böter på motsvarande 4 % av årsomsättningen eller upp till 20 miljoner Euro.

Införande

General Data Protection Regulation (GDPR) införs i hela EU 2018 för att stärka konsumenters dataskydd och för att skapa enhetliga regler inom hela EU. GDPR kommer att påverka alla företag och organisationer som verkar inom EU. GDPR är en EU-förordning och kommer direkt att vara överordnad alla nationella lagar inom samma område. I Sverige ersätter GDPR vår nuvarande nationella lag PUL (Personuppgiftslagen).

Reglering

GDPR reglerar hur företag och organisationer ska behandla personuppgifter och cybersäkerhet.
Ett krav i den nya lagstiftningen är kravet att lagrade personuppgifter ska vara korrekta. Med Person API från Roaring kan du säkerställa att dina kunduppgifter alltid är korrekta när de registreras.
 

Tips från juristen!

Tips till på hur arbetet för att uppfylla de nya kraven kan läggas upp:

  • Sanktionera och avsätt tid och en budget för dataskyddsfrågorna
  • Informera och utbilda inom organisationen. Anpassa utbildningen efter behov, alla behöver inte kunna allt.
  • Kartlägg all hantering av personuppgifter och era dataflöden för respektive behandling
  • Gör en juridisk utvärdering och en nulägesanalys i förhållande till de nya kraven
  • Prioritera och ta fram åtgärdsplaner utifrån nulägesanalysen
  • Åtgärda era problem och de områden där ni inte lever upp till tillämplig reglering
  • Ta fram styrande dokument och utveckla rutiner, se till att samtliga anställda är medveten om dessa
  • Förvalta och uppdatera rutiner, styrdokument och register vid behov
  • Se till att ha bra möjligheter till dokumentation, företrädesvis skriftlig
  • Se över alla informationstexter och biträdesavtal

 

Emma Lilja Sjödin Legal Counsel
, Legal Works

 

Roarings partner LegalWorks listar de 10 största förändringarna i den nya förordningen:

1. Den enskildes rättigheter förstärks på en rad punkter. Till exempel:
  • Samtycket: Samtycket ska vara tydligare, lätt att hitta och skrivet på ett lättbegripligt språk. Observera att en förifylld ruta för samtycke inte räcker.
  • Information: De registrerade ska få mycket mer information om behandlingen av personuppgifter än tidigare, vilket innebär att de allra flesta personuppgiftsansvariga måste skriva om sina informationstexter till både kunder och anställda.
  • Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att de raderas.
  • Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).

 

2. Skyddet för barn utökas

Viss registrering av barn (16 år) kommer att kräva målsmans godkännande. Detta blir aktuellt vid till exempel köp av appar, registrering på sociala medier etc. Medlemsstaterna får dock sänka denna åldersgräns ända ner till 13 år, vilket det svenska lagförslaget har valt att göra. Lagförslaget förväntas antas i december 2017.
 

3. Missbruksregeln försvinner

Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras, lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.
 

4. Dataskyddsombud

Myndigheter, offentliga organ och organisationer vars kärnverksamhet är särskilt integritetskänslig (t.ex.  de som gör profileringar eller registrerar särskilt känslig information i stor omfattning) måste utse ett så kallat dataskyddsombud. Dataskyddombudet ska bland annat:

  • Utses baserat på sina yrkesmässiga kvalifikationer och ha särskild kunskap inom dataskydd.
  • Ha som uppgift att informera om dataskyddsfrågor i sin organisation
  • Ska konsulteras när man gör dataskyddsanalyser och IT-inköp.
  • Revidera hanteringen av personuppgifter kontinuerligt.
  • Fungera som kontaktperson mot de registrerade och dataskyddmyndigheten, vilket i Sverige är Integritetsskyddsmyndigheten.
  • Rapportera direkt till högsta förvaltningsnivå, utan mellanled.
  • Få tillräckliga medel för att kunna utföra sina arbetsuppgifter och inte utsättas för sanktioner eller avsättas för att denne utför sina arbetsuppgifter.
  • Inte få några instruktioner om hur arbetet ska skötas och vad som ska göra.

 

5. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.
 

6. One stop shop

Företag behöver endast vända sig till en (1) tillsynsmyndighet inom EU istället för att vända sig till alla berörda tillsynsmyndigheter, som det ser ut idag. Tillsynsmyndigheterna ska sedan på eget initiativ samarbeta med varandra vid behov. En registrerad kan alltid vända sig till tillsynsmyndigheten i hemlandet.
 

7. Sanktionsavgifter

GDPR fastställer att sanktionsavgifter kan påföras vilka kan uppgå till 20 miljoner EUR eller 4% av den totala globala årsomsättningen. Denna nya regeln har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.
 

8. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:

  • Det blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga
  • Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.
  • Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar
  • Kan drabbas av sanktionsavgifter och förelägganden från Integritetsskyddsmyndigheten
  • Kan behöva revidera sina tjänstevillkor eftersom kraven på hur biträdesavtalet ska se ut, utökas
  • Behöver se över systemen så att de uppfyller kraven på privacy by design och privacy by default

Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera exempel tvistelösning, regressrätt och uppsägning.
 

9. Privacy by design och privacy by default

Den nya förordningen ställer krav på ett kontinuerligt säkerhetstänk vid design av systemen. Säkerhetsnivån ska vara anpassad efter risk- och hotbilden för personuppgifterna och vara en integrerad del av systemen redan från början. Utöver detta gäller det att systemen och behandlingen av personuppgifter är proaktiva vad gäller dataskydd, till exempel är det viktigt att man endast registrerar sådana personuppgifter som är nödvändiga för ändamålet med behandlingen. Detta kräver en bra kartläggning av på vilka sätt ni behandlar personuppgifterna för att säkerhetsdesignen och funktionerna ska passa både förordningen och syftet med er behandling.
 

10. Anmälningsplikt avseende personuppgiftsincidenter

Den nya förordningen fastställer att den personuppgiftsansvariga har ett ansvar att dokumentera alla personuppgiftsincidenter och, såvida det inte är osannolikt att den medför en risk för de registrerades rättigheter och friheter, även anmäla incidenterna till Integritetsskyddsmyndigheten. Vilka incidenter som ska anmälas, ska vi få mer information om från Integritetsskyddsmyndigheten under våren.
 
Läs mer om GDPR på LegaWorks webbplats