När trädde förordningen i kraft?
Förordningen började tillämpas den 25:e maj 2018. En förordning är (till skillnad från tidigare direktiv) direkt tillämplig lag i alla EU:s medlemsländer och det finns mycket få möjligheter till lokal anpassning eller speciallösningar i respektive land (undantagen gäller främst myndigheters verksamhet och kulturella skillnader som när en registrerad ska räknas som vuxen).
Vilka berörs av de nya reglerna?
EU:s nya dataskyddsförordning ’General Data Protection Regulation’ (’GDPR’) ersätter helt nuvarande Personuppgiftslag och innebär en stor förändring för alla organisationer som på något sätt behandlar personuppgifter. Alla företag i världen som erbjuder varor eller tjänster till EU-medborgare (eller har sin verksamhet här) omfattas av förordningen. All behandling av personuppgifter berörs, både kunders, personals och andra intressenters personuppgifter faller under förordningen och definitionen av ”behandling” har gjorts mycket bred. Allt från insamlandet av en personuppgift till dess radering eller förstörelse faller under begreppet. Skapande av nya personuppgifter (som ett kundnummer eller ett fotografi), lagring, kopiering, korrektur, vidarebefordran, arkivering eller försäljning av en personuppgift – allt är reglerat under hot om dryga sanktioner. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Pappersregister omfattas på samma sätt som elektroniska databaser.
Efterlevnad, sanktioner och skadestånd
De företag och organisationer som inte följer förordningen riskerar höga sanktionsavgifter. Den svenska tillsynsmyndigheten (Datainspektionen) har mandat att administrera sanktionsavgifter på upp till 10 miljoner euro, eller 2 % av årsomsättningen, vid mindre allvarliga överträdelser och upp till 20 miljoner euro, eller 4 % av årsomsättningen, vid allvarligare överträdelser (den summa som är högst). Sanktionsavgifter måste betalas direkt och kan endast överklagas i efterhand, vilket kan få allvarliga konsekvenser för många företag. Rimlighetsbedömningar kommer att göras från fall till fall och hänsyn kommer att tas till i vilken utsträckning företaget har försökt att åtgärda brister, dess grad av samarbete och transparens. Så det finns all anledning att redan nu börja se över företagets arbetssätt och rutiner för att visa sin goda vilja. Utöver dessa, redan höga, sanktioner kommer privatpersoner – ensamma eller i grupp – att ha en möjlighet att kräva skadestånd i de fall deras rättigheter kränkts.
Vad behöver vi göra?
Den nya Dataskyddsförordningen kommer bland annat att innebära krav på en omedelbar rapportering av integritetsbrott, att ett högt integritetsskydd byggs in från början i processer och system samt nya krav på kommunikation med den registrerade och en utförlig dokumentation. Den ger också ökade rättigheter för de personer som registreras att påverka vad som behandlas. 

Er organisation

Det är styrelsen och ledningen som ansvarar för att bedöma och hantera de risker som företaget utsätts för. Sanktionsrisken är en ny risk som måste tas i beaktande. Ledningen måste också utse dataskyddsombud i de fall som det krävs.

Er IT

Era IT-system behöver kartläggas.

  • Var och hur lagras personuppgifter?
  • Överförs de till andra system eller länder utanför EU?
  • Finns de rutiner som krävs för att ni ska kunna informera kunder och anställda kring vilka uppgifter som sparas?
  • Ni måste också på ett snabbt och enkelt sätt kunna korrigera felaktigheter, informera om vad som lagras och radera uppgifter.

Era processer

Det är viktigt att ni kartlägger era befintliga processer för att identifiera var och hur personuppgifter hanteras och se över vilka integritetsrisker som kan finnas. Det kan i vissa fall räcka med att justera befintliga processer men ofta krävs nya system och funktioner för att effektivt hantera de nya skyldigheter som följer av förordningen. Ni behöver även se över alla avtal med underleverantörer som hanterar personuppgifter åt er (IT-drift, back-up, CRM och lönehantering för att nämna ett par exempel).

Er dokumentation

Ni behöver inventera hur era kunders och anställdas personuppgifter hanteras.

  • Vilken typ av information har ni tillgång till?
  • Med vilket lagstöd och i vilket syfte behandlas varje personuppgift?
  • När samlades informationen in och när kommer den förstöras eller anonymiseras?
  • Vilka personer har tillgång till informationen och i vilka system och databaser finns den?
  • … och mycket mer.

Om Datainspektionen väljer att genomföra en granskning är det viktigt att kunna visa att ni uppfyller kraven och vilka åtgärder ni gjort.

Hur förhåller sig GDPR till annan lagstiftning?
Sveriges riksdag har genom medlemskapet i EU överlåtit en del av sin beslutandemakt till EU:s institutioner. Detta har skett i olika grad. Inom vissa områden, till exempel inom handels- och konkurrenspolitiken, får Sverige inte lagstifta över huvud taget. Där har EU så kallad exklusiv behörighet. Personuppgifter hamnar under Rättsliga och Inrikes frågor (närmare bestämt de grundläggande rättigheterna). Här gäller så kallad delad befogenhet (se artikel 4 i EUF-fördraget). Vid delad befogenhet kan medlemsländerna lagstifta, men endast om EU väljer att inte göra det. Från och med den 25 maj 2018 kan svensk lagstiftning alltså endast täcka in områden där GDPR inte gäller. Det finns områden där GDPR lämnat åt medlemsländerna att bestämma och där vi inväntar ett antal statliga utredningar och lagförslag, men det gäller främst personuppgifter i offentlig förvaltning. I vissa fall kommer vi också se skärningspunkter mot andra mänskliga rättigheter, som även EU är bundet av (till exempel tryckfriheten). Den som skriver en blogg kan exempelvis ansöka om ett utgivningsbevis och få helt andra möjligheter till behandling av personuppgifter i sitt publicerade material.
Finns det några fördelar med GDPR för mig som företag?
Dataskyddsförordningen kan verka jobbig men den innebär också fördelar. Exempelvis ökar den transparensen gentemot anställda och kunder. När ni anpassar ert företag efter den nya dataskyddsförordningen visar ni bland annat på att ni inte har något att dölja och att ni har ett ömsesidigt syfte med behandlingen.

Företag kommer också få en möjlighet att certifiera sin organisation (artikel 42 i förordningen). Certifieringen kommer ge er rätt att använda sigillet ”Europeiska sigillet för dataskydd”, som på ett positivt sätt kan användas i er marknadskommunikation. Vi inväntar fortfarande många detaljer kring certifieringsprocessen men den kommer att gälla i tre år (och kan dras tillbaka om ni inte lever upp till era åtaganden).

Hur kan ni hjälpa mig?

GDPR Hero finns här för att hjälpa er att leva upp till förordningen och för att minimera konsultkostnader och misstag baserade på den inkompletta och ibland motsägelsefulla information som vi alla bombarderas av i denna juristernas guldrusch. Skapa ett konto idag, få en överblick över vilka personuppgifter ni hanterar och ett beslutsunderlag för vilka uppgifter ni vill behålla. Vi hjälper er med tydliga steg, checklistor, och nyhetsbevakning – men främst av allt samlar vi all er hantering på ett och samma ställe, för att säkerställa att er hantering baseras på rätt lagstöd, sker i rätt syfte och under ansvar av rätt personer. 

GDPR – blir det inga julklappar i år?

Julen närmar sig med stormsteg och då är det mycket som ska hinnas med, inte minst för vår allas tomtefar. Inte nog med att alla julklappar ska delas ut; alla julstrumpor fyllas; och alla kakor ätas upp, i år har även GDPR lämnat gamle tomtefar med pannan i djupa veck. Läs mer »
GDPR – blir det inga julklappar i år?

Vad är egentligen ett datadelningsavtal?

I detta blogginlägg kommer vi informera om ett annat GDPR-avtal – ett s.k datadelningsavtal. Vi kommer reda ut när det behövs och hur det ska utformas. Till skillnad från ett personuppgiftsbiträdesavtal, är alla parter i ett datadelningsavtal personuppgiftsansvariga och bestämmer tillsammans ändamål och medel med personuppgiftsbehandlingen. Läs mer »
Vad är egentligen ett datadelningsavtal?

Personuppgiftsbiträdesavtal – avtal som kan hjälpa eller stjälpa

Om din organisation delar personuppgifter med en annan, det kan exempelvis vara en underleverantör, så måste det upprättas ett avtal som gör att underleverantören blir bunden till att efterleva kraven i GDPR. Eftersom att det är den personuppgiftsansvarige som är ytterst ansvarig för att personuppgifterna hanteras korrekt i alla led är det därför av vikt att ett personuppgiftsbiträdesavtal upprättas som kontrollerar relationen. Läs mer »
Personuppgiftsbiträdesavtal – avtal som kan hjälpa eller stjälpa

eIDAS – nya regler om e-signaturer

På senaste tiden har vi fått många frågor om elektroniska signaturer. Många av dessa frågor beror på EU-förordningen om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (den s.k. eIDAS-förordningen). Läs mer »
eIDAS – nya regler om e-signaturer

Datainspektionen rekommenderar alla organisationer att föra register

Enligt GDPR finns en skyldighet för företag att föra register över sin personuppgiftsbehandling, men inte för alla organisationer. Skyldigheten att föra register gäller som utgångspunkt endast för företag med 250 eller fler anställda. Detta är dock enbart en utgångspunkt och innebär inte att företag med färre än 250 anställda inte behöver föra register över sin personuppgiftsbehandling. De organisationer som inte behöver inte behöver föra register är i själva verket ytterst få. Läs mer »
Datainspektionen rekommenderar alla organisationer att föra register

Skapa ett konto nu och få hjälp direkt!

Share This