GDPR

Dataskyddsförordningen: GDPR (General Data Protection Regulation)

GDPR handlar om hur företag och organisationer ska tillåtas samla in, lagra och hantera data om privatpersoner på ett säkert sätt.

GDPR i korthet: Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst i förväg bestämt ändamål. Spara inte uppgifterna längre än nödvändigt. Se till att ni har stöd i lagen för att samla in uppgifter.

Dataskyddsförordningen (GDPR) ersatte Personuppgiftslagen från och med den 25 maj 2018. Syftet med GDPR är att harmonisera skyddet för fysiska personers personuppgifter så att samma rättigheter och skyldigheter gäller i hela EU. EU vill skapa en tillit till dataskyddet inom den inre marknaden, vilket i sin tur möjliggör utveckling av den digitala ekonomin.

Den nya förordningen ställer stora krav på den som behandlar och registrerar personuppgifter. Det är därför viktigt att företag, organisationer och dess personuppgiftsansvariga har bra koll på sitt dataskydd. De 10 största förändringarna i Dataskyddsförordningen (GDPR) jämfört med den tidigare Personuppgiftslagen är följande:

  1. Den enskildes rättigheter har förstärks på en rad punkter. Till exempel:
  • Samtycket: Samtycket ska vara klart och tydligt, lätt att hitta och skrivet på ett lättbegripligt språk. En förifylld ruta för samtycke räcker inte.
  • Information: Personuppgiftsansvarige ska kunna visa att samtycke finns och man ska informera om att det finns rätt att återkalla ett samtycke.
  • Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att bli raderad.
  • Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).
  1. Skyddet för barn utökas

Viss registrering av barn 16 år och under kommer att kräva målsmans godkännande. Detta blir aktuellt till exempel vid registrering på sociala medier och köp av appar.

  1. Missbruksregeln finns inte länge

Personuppgiftslagen omfattade inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text vilket innebär att så kallad vardaglig behandling av ostrukturerat material fick göras fritt så länge man inte kränkte den vars personuppgifter behandlas. Den regel kallades missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla Worddokument med löpande text som lagras på den egna hårddisken, eller e-postmeddelanden.

  1. Dataskyddsombud

Myndigheter, offentliga organ och organisationer vars kärnverksamhet är särskilt integritetskänslig (t.ex. de som gör profileringar eller registrerar särskilt känslig information i stor omfattning) måste utse ett så kallat dataskyddsombud. Dataskyddombudet ska bland annat:

  • Utses baserat på sina yrkesmässiga kvalifikationer och ha särskild kunskap inom dataskydd.
  • Ha som uppgift att informera om dataskyddsfrågor i sin organisation.
  • Delta i alla frågor som rör skyddet av personuppgifter.
  • Ska konsulteras när man gör dataskyddsanalyser och IT-inköp.
  • Revidera hanteringen av personuppgifter kontinuerligt.
  • Rapportera direkt till högsta ledningen.
  • Få tillräckliga medel för att kunna utföra sina arbetsuppgifter.
  • Ska inte kunna bestraffas för sitt uppdrag.
  • Vara oberoende och inte ges några instruktioner om hur arbetet ska skötas och vad som ska göras.
  • Fungera som kontaktperson mot de registrerade och dataskyddsmyndigheten, vilket i Sverige är Datainspektionen.
  1. Skyldighet att kunna visa efterlevnad av förordningen (accountability).

GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.

  1. En tillsynsmyndighet

Företag behöver endast vända sig till en (1) tillsynsmyndighet inom EU istället för att vända sig till alla berörda tillsynsmyndigheter, som det ser ut idag. Tillsynsmyndigheterna ska sedan på eget initiativ samarbeta med varandra vid behov. En registrerad kan alltid vända sig till tillsynsmyndigheten i hemlandet.

  1. Sanktionsavgifter

GDPR fastställer att sanktionsavgifter kan påföras vilka kan uppgå till 20 miljoner EUR eller 4% av den totala globala årsomsättningen. Regeln finns för att dataskyddet ska finnas på agendan i alla ledningsgrupper och styrelser.

  1. Personuppgiftsbiträdet blir tillsynsobjekt och det är höga krav på biträdesavtalen.

Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:

  • Personuppgiftsbiträdet blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga.
  • Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.
  • Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar.
  • Kan drabbas av sanktionsavgifter och förelägganden från Datainspektionen.
  • Ska se till att systemen uppfyller kraven på Privacy by design och Privacy by default.

Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera exempel tvistelösning, regressrätt och uppsägning.

  1. Privacy by design och Privacy by default

Två fraser som dyker upp i samband med GDPR är Privacy by design och Privacy by default. Privacy by design, eller Inbyggt dataskydd, betyder att IT-system och rutiner utformas med datasäkerheten i åtanke, till exempel genom kryptering. Säkerhetstänket behöver med andra ord finnas med redan från start. Privacy by default, eller Dataskydd som standard handlar om att ha som utgångspunkt att inte samla in mer information än nödvändigt om kunderna.

  1. Anmälningsplikt avseende personuppgiftsincidenter

Den nya förordningen fastställer att den personuppgiftsansvariga har ett ansvar att dokumentera alla personuppgiftsincidenter och, såvida det inte är osannolikt att den medför en risk för de registrerades rättigheter och friheter, även anmäla incidenterna till Datainspektionen.

Tips för att kunna uppfylla GDPR:

  1. Avsätt tid och en budget för dataskyddsfrågorna.
  2. Informera och utbilda inom organisationen
  3. Kartlägg all hantering av personuppgifter och dataflöden.
  4. Gör en juridisk utvärdering.
  5. Se till att ha styrande dokument och utvecklade rutiner.
  6. Ha åtgärdsplaner.
  7. Åtgärda direkt om det finns problem.
  8. Förvalta och uppdatera rutiner och åtgärdsplaner vid behov.
  9. Se till att ha bra dokumentation
  10. Se till att alla informationstexter och biträdesavtal är uppdaterade.

Följande information ska personer i ditt register få upplysning om;

  1. Personuppgiftsansvarig (ditt företag) inklusive kontaktuppgifter.
  2. Kontaktuppgifter till dataskyddsombudet, om ditt företag utsett sådant.
  3. Ändamålen med behandlingen av personuppgifterna.
  4. Den rättsliga grunden för behandlingen.
  5. De kategorier av personuppgifter som behandlingen gäller t.ex. adressuppgifter.
  6. Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, om du lämnar ut personuppgifterna till någon annan.
  7. Om du tänker lämna ut uppgifterna till någon utanför EU vilka skyddsåtgärder m.m. som finns och hur hen kan få en kopia eller var dessa finns att läsa.
  8. Den period som personuppgifterna kommer att lagras under eller villkor som används för radering.
  9. Rätten att begära tillgång till, rättelse och radering av personuppgifter, begränsning av behandling, invända mot behandling och dataportabilitet.
  10. Att det finns en rätt att återkalla sitt samtycke till behandling av personuppgifter och känsliga personuppgifter.
  11. Rätten att klaga till Datainspektionen, som är tillsynsmyndighet.
  12. Om tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt om den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.
  13.  Förekomsten av automatiserat beslutsfattande, inklusive profilering som får rättsliga följder eller i betydande grad påverkar hen eller grundar sig på känsliga personuppgifter, i åtminstone dessa fall ska det lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

Dessutom ska du lämna information om ditt företag kommer att behandla personuppgifterna för annat syfte än det som personuppgifterna insamlades för. Då ska ditt företag lämna information om det nya syftet och punkterna 8-13 ovan. Men om den registrerade redan har informationen behöver ditt företag inte lämna den igen, varken när du samlar in uppgifterna eller vid ändring av syftet.

Principer för behandling av personuppgifter

I Datskyddsförordningens Kapitel II som handlar om Principer står det i Artikel 5 d) följande text avseende de behandlade personuppgifterna:

De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

Roaring hjälper er att få uppdaterade register:

Roaring Apps hjälper företag, organisationer och myndigheter att kunna samla in korrekta uppgifter och därefter hålla dem uppdaterade för att på så sätt följa GDPR-kraven om att personuppgifter ska vara riktiga och uppdaterade.

Vi hjälper våra kunder att söka tillstånd för att uppdatera personuppgifter från myndigheternas register i Sverige (SPAR) och Norge (DSF).

Läs mer här