Vilka berörs av de nya reglerna?

EU:s nya dataskyddsförordning ’General Data Protection Regulation’ (’GDPR’) ersätter helt nuvarande Personuppgiftslag och innebär en stor förändring för alla organisationer som på något sätt behandlar personuppgifter. Alla företag i världen som erbjuder varor eller tjänster till EU-medborgare (eller har sin verksamhet här) omfattas av förordningen. All behandling av personuppgifter berörs, både kunders, personals och andra intressenters personuppgifter faller under förordningen och definitionen av ”behandling” har gjorts mycket bred. Allt från insamlandet av en personuppgift till dess radering eller förstörelse faller under begreppet. Skapande av nya personuppgifter (som ett kundnummer eller ett fotografi), lagring, kopiering, korrektur, vidarebefordran, arkivering eller försäljning av en personuppgift – allt är reglerat under hot om dryga sanktioner. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Pappersregister omfattas på samma sätt som elektroniska databaser.

När träder förordningen i kraft?

Förordningen kommer att träda i kraft den 25:e maj 2018. En förordning är (till skillnad från tidigare direktiv) direkt tillämplig lag i alla EU:s medlemsländer och det finns mycket få möjligheter till lokal anpassning eller speciallösningar i respektive land (undantagen gäller främst myndigheters verksamhet och kulturella skillnader som när en registrerad ska räknas som vuxen).

Efterlevnad, sanktioner och skadestånd

De företag och organisationer som inte följer förordningen riskerar höga sanktionsavgifter. Den svenska tillsynsmyndigheten (Datainspektionen) har mandat att administrera sanktionsavgifter på upp till 10 miljoner euro, eller 2 % av årsomsättningen, vid mindre allvarliga överträdelser och upp till 20 miljoner euro, eller 4 % av årsomsättningen, vid allvarligare överträdelser (den summa som är högst). Sanktionsavgifter måste betalas direkt och kan endast överklagas i efterhand, vilket kan få allvarliga konsekvenser för många företag. Rimlighetsbedömningar kommer att göras från fall till fall och hänsyn kommer att tas till i vilken utsträckning företaget har försökt att åtgärda brister, dess grad av samarbete och transparens. Så det finns all anledning att redan nu börja se över företagets arbetssätt och rutiner för att visa sin goda vilja. Utöver dessa, redan höga, sanktioner kommer privatpersoner – ensamma eller i grupp – att ha en möjlighet att kräva skadestånd i de fall deras rättigheter kränkts.

Vad behöver vi göra?

Den nya Dataskyddsförordningen kommer bland annat att innebära krav på en omedelbar rapportering av integritetsbrott, att ett högt integritetsskydd byggs in från början i processer och system samt nya krav på kommunikation med den registrerade och en utförlig dokumentation. Den ger också ökade rättigheter för de personer som registreras att påverka vad som behandlas. 

Er organisation

Det är styrelsen och ledningen som ansvarar för att bedöma och hantera de risker som företaget utsätts för. Sanktionsrisken är en ny risk som måste tas i beaktande. Ledningen måste också utse dataskyddsombud i de fall som det krävs.

Er IT

Era IT-system behöver kartläggas.

  • Var och hur lagras personuppgifter?
  • Överförs de till andra system eller länder utanför EU?
  • Finns de rutiner som krävs för att ni ska kunna informera kunder och anställda kring vilka uppgifter som sparas?
  • Ni måste också på ett snabbt och enkelt sätt kunna korrigera felaktigheter, informera om vad som lagras och radera uppgifter.

Era processer

Det är viktigt att ni kartlägger era befintliga processer för att identifiera var och hur personuppgifter hanteras och se över vilka integritetsrisker som kan finnas. Det kan i vissa fall räcka med att justera befintliga processer men ofta krävs nya system och funktioner för att effektivt hantera de nya skyldigheter som följer av förordningen. Ni behöver även se över alla avtal med underleverantörer som hanterar personuppgifter åt er (IT-drift, back-up, CRM och lönehantering för att nämna ett par exempel).

Er dokumentation

Ni behöver inventera hur era kunders och anställdas personuppgifter hanteras.

  • Vilken typ av information har ni tillgång till?
  • Med vilket lagstöd och i vilket syfte behandlas varje personuppgift?
  • När samlades informationen in och när kommer den förstöras eller anonymiseras?
  • Vilka personer har tillgång till informationen och i vilka system och databaser finns den?
  • … och mycket mer.

Om Datainspektionen väljer att genomföra en granskning är det viktigt att kunna visa att ni uppfyller kraven och vilka åtgärder ni gjort.

Hur förhåller sig GDPR till annan lagstiftning?

Sveriges riksdag har genom medlemskapet i EU överlåtit en del av sin beslutandemakt till EU:s institutioner. Detta har skett i olika grad. Inom vissa områden, till exempel inom handels- och konkurrenspolitiken, får Sverige inte lagstifta över huvud taget. Där har EU så kallad exklusiv behörighet. Personuppgifter hamnar under Rättsliga och Inrikes frågor (närmare bestämt de grundläggande rättigheterna). Här gäller så kallad delad befogenhet (se artikel 4 i EUF-fördraget). Vid delad befogenhet kan medlemsländerna lagstifta, men endast om EU väljer att inte göra det. Från och med den 25 maj 2018 kan svensk lagstiftning alltså endast täcka in områden där GDPR inte gäller. Det finns områden där GDPR lämnat åt medlemsländerna att bestämma och där vi inväntar ett antal statliga utredningar och lagförslag, men det gäller främst personuppgifter i offentlig förvaltning. I vissa fall kommer vi också se skärningspunkter mot andra mänskliga rättigheter, som även EU är bundet av (till exempel tryckfriheten). Den som skriver en blogg kan exempelvis ansöka om ett utgivningsbevis och få helt andra möjligheter till behandling av personuppgifter i sitt publicerade material.

Finns det några fördelar med GDPR för mig som företag?

Dataskyddsförordningen kan verka jobbig men den innebär också fördelar. Exempelvis ökar den transparensen gentemot anställda och kunder. När ni anpassar ert företag efter den nya dataskyddsförordningen visar ni bland annat på att ni inte har något att dölja och att ni har ett ömsesidigt syfte med behandlingen.

Företag kommer också få en möjlighet att certifiera sin organisation (artikel 42 i förordningen). Certifieringen kommer ge er rätt att använda sigillet ”Europeiska sigillet för dataskydd”, som på ett positivt sätt kan användas i er marknadskommunikation. Vi inväntar fortfarande många detaljer kring certifieringsprocessen men den kommer att gälla i tre år (och kan dras tillbaka om ni inte lever upp till era åtaganden).

Hur kan ni hjälpa mig?

GDPR Hero finns här för att hjälpa er att leva upp till förordningen och för att minimera konsultkostnader och misstag baserade på den inkompletta och ibland motsägelsefulla information som vi alla bombarderas av i denna juristernas guldrusch. Skapa ett konto idag, få en överblick över vilka personuppgifter ni hanterar och ett beslutsunderlag för vilka uppgifter ni vill behålla. Vi hjälper er med tydliga steg, checklistor, och nyhetsbevakning – men främst av allt samlar vi all er hantering på ett och samma ställe, för att säkerställa att er hantering baseras på rätt lagstöd, sker i rätt syfte och under ansvar av rätt personer. I god tid till maj 2018 och så fort alla myndighetsfunktioner finns på plats kommer ni även lätt att kunna skapa incidentrapporter, sköta en snabb och tydlig kommunikation med era registrerade och få hjälp inför en eventuell certifiering, allt inom GDPR Hero. Till en kostnad motsvarande en konsulttimme var fjärde månad eller mindre.

Personuppgiftsbiträde – att tänka på inför ikraftträdandet av GDPR

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för en personuppgiftsansvarig. I dataskyddsförordningens (GDPR) art. 4 definieras person-uppgiftsbiträden som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. Läs mer »
Personuppgiftsbiträde – att tänka på inför ikraftträdandet av GDPR

GDPR – Praktiskt information på arbetsplatsen (del 2)

I förra blogginlägget gick vi igenom vilka lagliga grunder som behövs för att genomföra en personuppgiftsbehandling. Det inlägget hittar du här. I detta inlägg ska vi gå närmare in på vilka fler krav som ställs på er personuppgiftshantering på arbetsplatsen. Vi börjar där vi slutade sist. Läs mer »
GDPR – Praktiskt information på arbetsplatsen (del 2)

Vet en vet alla – Principen om ”One-Stop-Shop”

Vad är principen ”One-Stop-Shop”? En av de stora utmaningarna inom EU är att all information över Internet ska tillåtas att flöda fritt mellan länder inom EU. Detta hänger samman med synen på att tjänster, varor och kapital ska kunna röra sig fritt inom EU:s inre...

Läs mer »
Vet en vet alla – Principen om ”One-Stop-Shop”

Personuppgifter och molntjänster

Med anledning av den nyligen uppdagade IT-skandalen inom Transportstyrelsen, där känsliga personuppgifter har gjorts tillgängliga för personer som inte innehar säkerhetsklassificering, tänkte jag att vi denna vecka ska titta lite närmare på personuppgifter och molntjänster och hur dessa bör behandlas för att undvika liknande situationer i framtiden. Läs mer »
Personuppgifter och molntjänster

Vem skyddas av GDPR?

I veckans blogginlägg ska vi på ett tydligt sätt förklara innebörden av ”territoriell tillämplighet” i den nya dataskyddsförordning (GDPR) som träder i kraft nästa år. Läs mer »
Vem skyddas av GDPR?

Skapa ett konto nu och få hjälp direkt!

Share This