När trädde förordningen i kraft?
Förordningen började tillämpas den 25:e maj 2018. En förordning är (till skillnad från tidigare direktiv) direkt tillämplig lag i alla EU:s medlemsländer och det finns mycket få möjligheter till lokal anpassning eller speciallösningar i respektive land (undantagen gäller främst myndigheters verksamhet och kulturella skillnader som när en registrerad ska räknas som vuxen).
Vilka berörs av GDPR?

EU:s nya dataskyddsförordning ’General Data Protection Regulation’ (’GDPR’) ersatte helt Personuppgiftslagen (”PuL”). GDPR innebär en stor förändring för alla organisationer som på något sätt behandlar personuppgifter. Alla företag i världen som erbjuder varor eller tjänster till EU-medborgare (eller har sin verksamhet här) omfattas av förordningen.

All behandling av personuppgifter berörs, både kunders, personals och andra intressenters personuppgifter faller under förordningen och definitionen av ”behandling” har gjorts mycket bred. Allt från insamlandet av en personuppgift till dess radering eller förstörelse faller under begreppet. Skapande av nya personuppgifter (som ett kundnummer eller ett fotografi), lagring, kopiering, korrektur, vidarebefordran, arkivering eller försäljning av en personuppgift – allt är reglerat under hot om dryga sanktioner. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Pappersregister omfattas på samma sätt som elektroniska databaser.

Vad behöver vi göra?

Den nya Dataskyddsförordningen kommer bland annat att innebära krav på en omedelbar rapportering av integritetsbrott, att ett högt integritetsskydd byggs in från början i processer och system samt nya krav på kommunikation med den registrerade och en utförlig dokumentation. Den ger också ökade rättigheter för de personer som registreras att påverka vad som behandlas. 

Er organisation

Det är styrelsen och ledningen som ansvarar för att bedöma och hantera de risker som företaget utsätts för. Sanktionsrisken är en ny risk som måste tas i beaktande. Ledningen måste också utse dataskyddsombud i de fall som det krävs.

Er IT

Era IT-system behöver kartläggas.

  • Var och hur lagras personuppgifter?
  • Överförs de till andra system eller länder utanför EU?
  • Finns de rutiner som krävs för att ni ska kunna informera kunder och anställda kring vilka uppgifter som sparas?
  • Ni måste också på ett snabbt och enkelt sätt kunna korrigera felaktigheter, informera om vad som lagras och radera uppgifter.

Era processer

Det är viktigt att ni kartlägger era befintliga processer för att identifiera var och hur personuppgifter hanteras och se över vilka integritetsrisker som kan finnas. Det kan i vissa fall räcka med att justera befintliga processer men ofta krävs nya system och funktioner för att effektivt hantera de nya skyldigheter som följer av förordningen. Ni behöver även se över alla avtal med underleverantörer som hanterar personuppgifter åt er (IT-drift, back-up, CRM och lönehantering för att nämna ett par exempel).

Er dokumentation

Ni behöver inventera hur era kunders och anställdas personuppgifter hanteras.

  • Vilken typ av information har ni tillgång till?
  • Med vilket lagstöd och i vilket syfte behandlas varje personuppgift?
  • När samlades informationen in och när kommer den förstöras eller anonymiseras?
  • Vilka personer har tillgång till informationen och i vilka system och databaser finns den?
  • … och mycket mer.

Om Datainspektionen väljer att genomföra en granskning är det viktigt att kunna visa att ni uppfyller kraven och vilka åtgärder ni gjort.

Hur förhåller sig GDPR till annan lagstiftning?
Sveriges riksdag har genom medlemskapet i EU överlåtit en del av sin beslutandemakt till EU:s institutioner. Detta har skett i olika grad. Inom vissa områden, till exempel inom handels- och konkurrenspolitiken, får Sverige inte lagstifta över huvud taget. Där har EU så kallad exklusiv behörighet. Personuppgifter hamnar under Rättsliga och Inrikes frågor (närmare bestämt de grundläggande rättigheterna). Här gäller så kallad delad befogenhet (se artikel 4 i EUF-fördraget). Vid delad befogenhet kan medlemsländerna lagstifta, men endast om EU väljer att inte göra det. Från och med den 25 maj 2018 kan svensk lagstiftning alltså endast täcka in områden där GDPR inte gäller. Det finns områden där GDPR lämnat åt medlemsländerna att bestämma och där vi inväntar ett antal statliga utredningar och lagförslag, men det gäller främst personuppgifter i offentlig förvaltning. I vissa fall kommer vi också se skärningspunkter mot andra mänskliga rättigheter, som även EU är bundet av (till exempel tryckfriheten). Den som skriver en blogg kan exempelvis ansöka om ett utgivningsbevis och få helt andra möjligheter till behandling av personuppgifter i sitt publicerade material.
Vad finns det fördelar med GDPR för er organisation?

Dataskyddsförordningen kan verka tuff men den innebär också fördelar. Exempelvis ökar den transparensen gentemot anställda och kunder. När ni anpassar ert företag efter den nya dataskyddsförordningen visar ni bland annat på att ni inte har något att dölja och att ni har ett ömsesidigt syfte med behandlingen.

Företag kommer också få en möjlighet att certifiera sin organisation (artikel 42 i förordningen). Certifieringen kommer ge er rätt att använda sigillet ”Europeiska sigillet för dataskydd”, som på ett positivt sätt kan användas i er marknadskommunikation. Vi inväntar fortfarande många detaljer kring certifieringsprocessen men den kommer att gälla i tre år (och kan dras tillbaka om ni inte lever upp till era åtaganden).

Hur kan vi hjälpa dig?

GDPR Hero finns här för att hjälpa er att leva upp till dataskyddsförordningen och för att minimera konsultkostnader och misstag baserade på den inkompletta och ibland motsägelsefulla information som vi alla bombarderas av i denna juristernas guldrusch.

Boka en demo eller skapa ett konto redan idag, och få en överblick över vilka personuppgifter ni hanterar och ett beslutsunderlag för vilka uppgifter ni vill behålla. Vi hjälper er med tydliga steg, checklistor, och nyhetsbevakning – men främst av allt samlar vi all er hantering på ett och samma ställe, för att säkerställa att er hantering baseras på rätt lagstöd, sker i rätt syfte och under ansvar av rätt personer.

Får vi fotografera på företagsfesten?

Vintern närmar sig och ni bjuder in era anställda till en företagsfest för att fira den kommande ledigheten. Givetvis vill ni föreviga detta genom fotografier och filmer som sedan läggs ut på er hemsida och diverse sociala medier. Är detta tillåtet enligt GDPR? I...

Läs mer »

Hur länge får vi spara personuppgifter?

En vanlig fråga vi får är hur länge en personuppgiftsansvarig får spara personuppgifter. Det går inte att ange en bestämd tidsgräns för all form av personuppgiftsbehandling. Därför kommer vi i detta blogginlägg gå igenom olika riktmärken och tips för att ni ska...

Läs mer »

Sommarens nyheter inom GDPR | Första sanktionsavgiften

Många tar semesterledigt och slappnar av under sommaren men juridikens utveckling stannar aldrig av. GDPR Hero har sammanställt tre av de viktigaste händelserna under sommaren som ni bör ha koll på gällande Datainspektionens arbete med GDPR och den utveckling som...

Läs mer »

Standardavtalsklausuler och GDPR

I kapitel V GDPR finns ett särskilt regelverk som reglerar tredjelandsöverföring. Ett tredje land är ett land utanför EU/EES och för att föra över personuppgifter till ett tredje land krävs att de finns en laglig grund, i enlighet med GDPR. En av de möjliga förutsättningarna är att tillämpa standardavtalsklausuler (Standard Contractual Clauses, SCC). Det föreligger dock en risk för att standardavtalsklausulerna inte motsvarar det skydd för personuppgiftsbehandlingar som GDPR uppställer. Läs mer »

Pseudonymisering och anonymisering av personuppgifter

Många företag vill kunna behålla information för att kunna föra statistik, vilket ofta kräver att informationen sparas under en lång tid. Genom att pseudonymisera eller anonymisera personuppgifter skapar man en säkrare behandling, som till och med kan falla utanför GDPR:s tillämpningsområde. Läs mer »

Kamerabevakningslagen

Förutom GDPR finns det i svensk rätt ett antal speciallagar som reglerar personuppgiftsbehandling. En av dessa är kamerabevakningslagen. Men hur förhåller sig denna svenskstiftade lag till GDPR och vad säger kamerabevakningslagen egentligen? Kamerabevakningslagen...

Läs mer »

Vägledning gällande e-post och GDPR

I dagens samhälle är det vanligt att ens arbetsmejl innehåller flertalet personuppgifter och olika typer av behandlingar. Vi får många frågor kring hur e-postmeddelande ska hanteras enligt GDPR. Därför beskriver vi i detta blogginlägg hur ni kan hantera er e-post på ett GDPR-smart sätt! Läs mer »

Ytterligare 10 viktiga begrepp i GDPR!

I ett tidigare blogginlägg (som ni hittar här) redde vi ut 10 viktiga begrepp i GDPR. I detta blogginlägg kommer vi reda ut 10 ytterligare begrepp i GDPR. Har ni koll även på dessa är det enklare att följa med i diskussionerna kring de krav som ställs upp i GDPR....

Läs mer »

GDPR – Blir det inga julklappar i år? Del 2

I förra gästblogginlägget (som du kan läsa här) påbörjade vi med att besvara några av tomtens frågeställningar kring territorialitet och laglighet för behandling av personuppgifter. Detta är en bra början, men det finns fler frågor som bör utredas innan jultomten...

Läs mer »

GDPR – blir det inga julklappar i år? Del 1

Julen närmar sig med stormsteg och då är det mycket som ska hinnas med, inte minst för vår allas tomtefar. Inte nog med att alla julklappar ska delas ut; alla julstrumpor fyllas; och alla kakor ätas upp, i år har även GDPR lämnat gamle tomtefar med pannan i djupa veck. Läs mer »

Vad är egentligen ett datadelningsavtal?

I detta blogginlägg kommer vi informera om ett annat GDPR-avtal – ett s.k datadelningsavtal. Vi kommer reda ut när det behövs och hur det ska utformas. Till skillnad från ett personuppgiftsbiträdesavtal, är alla parter i ett datadelningsavtal personuppgiftsansvariga och bestämmer tillsammans ändamål och medel med personuppgiftsbehandlingen. Läs mer »

Personuppgiftsbiträdesavtal – avtal som kan hjälpa eller stjälpa

Om din organisation delar personuppgifter med en annan, det kan exempelvis vara en underleverantör, så måste det upprättas ett avtal som gör att underleverantören blir bunden till att efterleva kraven i GDPR. Eftersom att det är den personuppgiftsansvarige som är ytterst ansvarig för att personuppgifterna hanteras korrekt i alla led är det därför av vikt att ett personuppgiftsbiträdesavtal upprättas som kontrollerar relationen. Läs mer »

eIDAS – nya regler om e-signaturer

På senaste tiden har vi fått många frågor om elektroniska signaturer. Många av dessa frågor beror på EU-förordningen om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (den s.k. eIDAS-förordningen). Läs mer »

Datainspektionen rekommenderar alla organisationer att föra register

Enligt GDPR finns en skyldighet för företag att föra register över sin personuppgiftsbehandling, men inte för alla organisationer. Skyldigheten att föra register gäller som utgångspunkt endast för företag med 250 eller fler anställda. Detta är dock enbart en utgångspunkt och innebär inte att företag med färre än 250 anställda inte behöver föra register över sin personuppgiftsbehandling. De organisationer som inte behöver inte behöver föra register är i själva verket ytterst få. Läs mer »

Konsekvensbedömningar – varför, när och hur?

En av nyheterna i GDPR jämfört med personuppgiftslagen (som slutade gälla 25 maj 2018) är konsekvensbedömningar. Det är viktigt att konsekvensbedömningar genomförs när det krävs. Trots detta är det många organisationer som inte vet vad en konsekvensbedömning är,...

Läs mer »
Konsekvens

Sekretess kring incidentrapporter? Nytt avgörande!

I början av augusti kom ett avgörande från Kammarrätten i Stockholm om utlämnande av en incidentrapport som en offentlig handling. Kammarrätten ändrade Datainspektionens beslut i ett fall och upphävde sekretessen för handlingen. Som en uppföljning på vårt tidigare...

Läs mer »
Nytt avgörande från kammarrätten

Vad är en ”integritetskänslig uppgift”?

I det förra blogginlägget förklarade vi vad känsliga personuppgifter är och hur de får behandlas. Detta blogginlägg kommer istället handla om ”integritetskänsliga uppgifter”. Det är personuppgifter som inte är ”känsliga uppgifter”, men som ändå anses kräva ett...

Läs mer »
Integritetskänsliga uppgifter

Känsliga personuppgifter

Vissa personuppgifter är extra känsliga och kräver ett starkare skydd än andra uppgifter. GDPR har speciella regler för dessa känsliga personuppgifter. Endast om vissa förutsättningar är uppfyllda får sådana uppgifter behandlas. Nästan alla företag hanterar någon...

Läs mer »
Privat

Vi prövade att begära ut en incidentrapport…

En personuppgiftsincident ska rapporteras till tillsynsmyndigheten (i Sverige är det Datainspektionen) om incidenten bedöms medföra en risk för fysiska personers rättigheter och friheter. Datainspektionen informerar om att allt du rapporterar in blir en så kallad...

Läs mer »
Incidentrapport

Barns personuppgifter – särskilt skyddade

Behandlar din organisation personuppgifter om barn? Då behöver ni kolla extra på hur just deras uppgifter behandlas. När det gäller barns personuppgifter innebär GDPR nämligen en hel del aspekter att ta hänsyn till. Här är några av de viktigaste sakerna att tänka...

Läs mer »

Överföring av personuppgifter till koncernbolag utanför EU

Är ni ett bolag etablerade i EU och tillhör en internationell koncern med bolag belägna utanför EU/EES-området? Isåfall behöver ni veta att om en överföring av personuppgifter till ett bolag utanför EU/EES-området sker, en s.k. tredjelandsöverföring, gäller...

Läs mer »

Efter att GDPR trätt ikraft – vad händer nu?

Mejlkorgen svämmar över med mejl om uppdaterade användaravtal och integritetspolicys från olika företag. En del av företagen anser att jobbet är klart eftersom den 25 maj redan har passerat, men det är nu arbetet med GDPR tar fart på riktigt! Innan ikraftträdandet...

Läs mer »

Antidoping och personuppgiftshantering

När GDPR, EU:s dataskyddsförordning, tillämpas anser regeringen att det krävs särskilda regler för att behandla personuppgifter i samband med antidopning-arbete inom idrotten. Läs mer »

Samtycke som lagstöd – att vara eller inte vara

Samtycke är ett av sex möjliga lagstöd i GDPR. En av de viktigaste aspekterna med personuppgiftshantering hos föreningar, företag och myndigheter är att varje personuppgiftsbehandling ska vara knuten till något av de lagstöd som finns i artikel 6.   Ett av de...

Läs mer »

Får jag inte anteckna att en anställd har sjukanmält sig?!

Det är enligt artikel 9.1 GDPR förbjudet att hantera uppgifter om en persons hälsa. Nu kanske du tänker att ”Oj, ska vi inte få skriva upp att en anställd sjukanmält sig!?”. Så är det inte riktigt. Förbudet mot att hantera uppgifter om en persons hälsa är en utgångspunkt, det finns flera användbara undantag till förbudet. Läs mer »

Riksdagen har antagit en ny dataskyddslag!

I slutet av april antog riksdagen en ny dataskyddslag som träder i kraft samtidigt som EU:s dataskyddsförordning (GDPR), den 25 maj. GDPR öppnar upp möjligheter för EU:s medlemsstater att fylla ut vissa bestämmelser i förordningen med innehåll som är mer anpassat...

Läs mer »

Personuppgiftsbiträde – att tänka på inför ikraftträdandet av GDPR

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för en personuppgiftsansvarig. I dataskyddsförordningens (GDPR) art. 4 definieras person-uppgiftsbiträden som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. Läs mer »

Skapa ett konto nu och få hjälp direkt!

Share This