När trädde förordningen i kraft?
Förordningen började tillämpas den 25:e maj 2018. En förordning är (till skillnad från tidigare direktiv) direkt tillämplig lag i alla EU:s medlemsländer och det finns mycket få möjligheter till lokal anpassning eller speciallösningar i respektive land (undantagen gäller främst myndigheters verksamhet och kulturella skillnader som när en registrerad ska räknas som vuxen).
Vilka berörs av GDPR?

EU:s nya dataskyddsförordning ’General Data Protection Regulation’ (’GDPR’) ersatte helt Personuppgiftslagen (”PuL”). GDPR innebär en stor förändring för alla organisationer som på något sätt behandlar personuppgifter. Alla företag i världen som erbjuder varor eller tjänster till EU-medborgare (eller har sin verksamhet här) omfattas av förordningen.

All behandling av personuppgifter berörs, både kunders, personals och andra intressenters personuppgifter faller under förordningen och definitionen av ”behandling” har gjorts mycket bred. Allt från insamlandet av en personuppgift till dess radering eller förstörelse faller under begreppet. Skapande av nya personuppgifter (som ett kundnummer eller ett fotografi), lagring, kopiering, korrektur, vidarebefordran, arkivering eller försäljning av en personuppgift – allt är reglerat under hot om dryga sanktioner. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Pappersregister omfattas på samma sätt som elektroniska databaser.

Vad behöver vi göra?

Den nya Dataskyddsförordningen kommer bland annat att innebära krav på en omedelbar rapportering av integritetsbrott, att ett högt integritetsskydd byggs in från början i processer och system samt nya krav på kommunikation med den registrerade och en utförlig dokumentation. Den ger också ökade rättigheter för de personer som registreras att påverka vad som behandlas. 

Er organisation

Det är styrelsen och ledningen som ansvarar för att bedöma och hantera de risker som företaget utsätts för. Sanktionsrisken är en ny risk som måste tas i beaktande. Ledningen måste också utse dataskyddsombud i de fall som det krävs.

Er IT

Era IT-system behöver kartläggas.

  • Var och hur lagras personuppgifter?
  • Överförs de till andra system eller länder utanför EU?
  • Finns de rutiner som krävs för att ni ska kunna informera kunder och anställda kring vilka uppgifter som sparas?
  • Ni måste också på ett snabbt och enkelt sätt kunna korrigera felaktigheter, informera om vad som lagras och radera uppgifter.

Era processer

Det är viktigt att ni kartlägger era befintliga processer för att identifiera var och hur personuppgifter hanteras och se över vilka integritetsrisker som kan finnas. Det kan i vissa fall räcka med att justera befintliga processer men ofta krävs nya system och funktioner för att effektivt hantera de nya skyldigheter som följer av förordningen. Ni behöver även se över alla avtal med underleverantörer som hanterar personuppgifter åt er (IT-drift, back-up, CRM och lönehantering för att nämna ett par exempel).

Er dokumentation

Ni behöver inventera hur era kunders och anställdas personuppgifter hanteras.

  • Vilken typ av information har ni tillgång till?
  • Med vilket lagstöd och i vilket syfte behandlas varje personuppgift?
  • När samlades informationen in och när kommer den förstöras eller anonymiseras?
  • Vilka personer har tillgång till informationen och i vilka system och databaser finns den?
  • … och mycket mer.

Om Datainspektionen väljer att genomföra en granskning är det viktigt att kunna visa att ni uppfyller kraven och vilka åtgärder ni gjort.

Hur förhåller sig GDPR till annan lagstiftning?
Sveriges riksdag har genom medlemskapet i EU överlåtit en del av sin beslutandemakt till EU:s institutioner. Detta har skett i olika grad. Inom vissa områden, till exempel inom handels- och konkurrenspolitiken, får Sverige inte lagstifta över huvud taget. Där har EU så kallad exklusiv behörighet. Personuppgifter hamnar under Rättsliga och Inrikes frågor (närmare bestämt de grundläggande rättigheterna). Här gäller så kallad delad befogenhet (se artikel 4 i EUF-fördraget). Vid delad befogenhet kan medlemsländerna lagstifta, men endast om EU väljer att inte göra det. Från och med den 25 maj 2018 kan svensk lagstiftning alltså endast täcka in områden där GDPR inte gäller. Det finns områden där GDPR lämnat åt medlemsländerna att bestämma och där vi inväntar ett antal statliga utredningar och lagförslag, men det gäller främst personuppgifter i offentlig förvaltning. I vissa fall kommer vi också se skärningspunkter mot andra mänskliga rättigheter, som även EU är bundet av (till exempel tryckfriheten). Den som skriver en blogg kan exempelvis ansöka om ett utgivningsbevis och få helt andra möjligheter till behandling av personuppgifter i sitt publicerade material.
Vad finns det fördelar med GDPR för er organisation?

Dataskyddsförordningen kan verka tuff men den innebär också fördelar. Exempelvis ökar den transparensen gentemot anställda och kunder. När ni anpassar ert företag efter den nya dataskyddsförordningen visar ni bland annat på att ni inte har något att dölja och att ni har ett ömsesidigt syfte med behandlingen.

Företag kommer också få en möjlighet att certifiera sin organisation (artikel 42 i förordningen). Certifieringen kommer ge er rätt att använda sigillet ”Europeiska sigillet för dataskydd”, som på ett positivt sätt kan användas i er marknadskommunikation. Vi inväntar fortfarande många detaljer kring certifieringsprocessen men den kommer att gälla i tre år (och kan dras tillbaka om ni inte lever upp till era åtaganden).

Hur kan vi hjälpa dig?

GDPR Hero finns här för att hjälpa er att leva upp till dataskyddsförordningen och för att minimera konsultkostnader och misstag baserade på den inkompletta och ibland motsägelsefulla information som vi alla bombarderas av i denna juristernas guldrusch.

Boka en demo eller skapa ett konto redan idag, och få en överblick över vilka personuppgifter ni hanterar och ett beslutsunderlag för vilka uppgifter ni vill behålla. Vi hjälper er med tydliga steg, checklistor, och nyhetsbevakning – men främst av allt samlar vi all er hantering på ett och samma ställe, för att säkerställa att er hantering baseras på rätt lagstöd, sker i rätt syfte och under ansvar av rätt personer.

Känsliga personuppgifter

Vissa personuppgifter är extra känsliga och kräver ett starkare skydd än andra uppgifter. GDPR har speciella regler för dessa känsliga personuppgifter. Endast om vissa förutsättningar är uppfyllda får sådana uppgifter behandlas. Nästan alla företag hanterar någon...

Privat

Vi prövade att begära ut en incidentrapport…

En personuppgiftsincident ska rapporteras till tillsynsmyndigheten (i Sverige är det Datainspektionen) om incidenten bedöms medföra en risk för fysiska personers rättigheter och friheter. Datainspektionen informerar om att allt du rapporterar in blir en så kallad...

Incidentrapport

Barns personuppgifter – särskilt skyddade

Behandlar din organisation personuppgifter om barn? Då behöver ni kolla extra på hur just deras uppgifter behandlas. När det gäller barns personuppgifter innebär GDPR nämligen en hel del aspekter att ta hänsyn till. Här är några av de viktigaste sakerna att tänka...

Överföring av personuppgifter till koncernbolag utanför EU

Är ni ett bolag etablerade i EU och tillhör en internationell koncern med bolag belägna utanför EU/EES-området? Isåfall behöver ni veta att om en överföring av personuppgifter till ett bolag utanför EU/EES-området sker, en s.k. tredjelandsöverföring, gäller...

Efter att GDPR trätt ikraft – vad händer nu?

Mejlkorgen svämmar över med mejl om uppdaterade användaravtal och integritetspolicys från olika företag. En del av företagen anser att jobbet är klart eftersom den 25 maj redan har passerat, men det är nu arbetet med GDPR tar fart på riktigt! Innan ikraftträdandet...

Antidoping och personuppgiftshantering

När GDPR, EU:s dataskyddsförordning, tillämpas anser regeringen att det krävs särskilda regler för att behandla personuppgifter i samband med antidopning-arbete inom idrotten.

Samtycke som lagstöd – att vara eller inte vara

Samtycke är ett av sex möjliga lagstöd i GDPR. En av de viktigaste aspekterna med personuppgiftshantering hos föreningar, företag och myndigheter är att varje personuppgiftsbehandling ska vara knuten till något av de lagstöd som finns i artikel 6.   Ett av de...

Får jag inte anteckna att en anställd har sjukanmält sig?!

Det är enligt artikel 9.1 GDPR förbjudet att hantera uppgifter om en persons hälsa. Nu kanske du tänker att ”Oj, ska vi inte få skriva upp att en anställd sjukanmält sig!?”. Så är det inte riktigt. Förbudet mot att hantera uppgifter om en persons hälsa är en utgångspunkt, det finns flera användbara undantag till förbudet.

Riksdagen har antagit en ny dataskyddslag!

I slutet av april antog riksdagen en ny dataskyddslag som träder i kraft samtidigt som EU:s dataskyddsförordning (GDPR), den 25 maj. GDPR öppnar upp möjligheter för EU:s medlemsstater att fylla ut vissa bestämmelser i förordningen med innehåll som är mer anpassat...

Personuppgiftsbiträde – att tänka på inför ikraftträdandet av GDPR

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för en personuppgiftsansvarig. I dataskyddsförordningens (GDPR) art. 4 definieras person-uppgiftsbiträden som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”.

GDPR – Praktiskt information på arbetsplatsen (del 2)

I förra blogginlägget gick vi igenom vilka lagliga grunder som behövs för att genomföra en personuppgiftsbehandling. Det inlägget hittar du här. I detta inlägg ska vi gå närmare in på vilka fler krav som ställs på er personuppgiftshantering på arbetsplatsen. Vi börjar där vi slutade sist.

Vet en vet alla – Principen om ”One-Stop-Shop”

Vad är principen ”One-Stop-Shop”? En av de stora utmaningarna inom EU är att all information över Internet ska tillåtas att flöda fritt mellan länder inom EU. Detta hänger samman med synen på att tjänster, varor och kapital ska kunna röra sig fritt inom EU:s inre...

Personuppgifter och molntjänster

Med anledning av den nyligen uppdagade IT-skandalen inom Transportstyrelsen, där känsliga personuppgifter har gjorts tillgängliga för personer som inte innehar säkerhetsklassificering, tänkte jag att vi denna vecka ska titta lite närmare på personuppgifter och molntjänster och hur dessa bör behandlas för att undvika liknande situationer i framtiden.

Vem skyddas av GDPR?

I veckans blogginlägg ska vi på ett tydligt sätt förklara innebörden av ”territoriell tillämplighet” i den nya dataskyddsförordning (GDPR) som träder i kraft nästa år.

Personuppgiftsincident – Du har 72 timmar på dig

I augusti 2013 utsattes Yahoo för ett av historiens största dataintrång där mer än 1 miljard användarkonton hackades. I samma anda pågår just nu rättegången mot åtta åtalade för en av de största dataintrångshärvorna i Sverige där de misstänkta ska ha kommit över 40 miljoner kronor.

Dataskyddsombud (DPO)

En nyhet i dataskyddsförordningen, är att vissa företag kommer att behöva tillsätta ett dataskyddsombud. Ombudets uppgift är att övervaka så att företaget följer dataskyddsförordningen och annan dataskyddslagstiftning, ge information och råd samt fungera som en kontaktlänk till tillsynsmyndigheten.

Dataportabilitet

Dataportabilitet är en nyhet i den nya dataskyddsförordningen. I korta drag innebär den att den som lämnat sina personuppgifter till ett företag, under vissa förutsättningar, har rätt att få ut och överföra sina personuppgifter till ett annat, konkurrerande företag.

Personuppgiftshantering som leder till hög risk

Konsekvensbedömning är en ny del av den personuppgiftshanteringsmetodik som presenteras i nya dataskyddsförordningen (GDPR). Det är ett bra analysverktyg att arbeta med för att identifiera risker, vidta lämpliga åtgärder samt upprätthålla en säker personuppgiftshantering.

Kinas svar på GDPR

I takt med ökade dataattacker genom internet har kraven på dataskydd ökat i hela världen. GDPR (dataskyddsförordningen) träder i kraft i EU i maj 2018, men vissa länder har redan hunnit före.

10 viktiga begrepp i GDPR!

Publicerad 26 juni 2017 Dataskyddsförordningen för med sig en hel del nya och i vissa fall svåra begrepp som inte förklarar sig själva. I det här inlägget reder vi ut några av de viktigaste begreppen i förordningen som är bra att hålla koll på. Personuppgift Varje...

Skapa ett konto nu och få hjälp direkt!

Share This