GDPR

– Vad du behöver tänka på

Det finns 13 punkter som alla företag som hanterar personuppgifter bör fundera runt i och med den lagförändring (GDPR, General Data Protection Regulation) som träder i kraft den 25 maj 2018.

Dataskyddsförordningen kommer att ersätta den lag vi har idag, PUL Personuppgiftslagen, dock kommer det även att finnas en del stora förändringar och helt nya bestämmelser.

Ansvaret och skyldigheter hos den som är personuppgiftsansvarig eller personuppgiftsbiträde utökas och rättigheter för den registrerade kommer att stärkas.

 

1. Är alla berörda i er organisation medvetna om den nya dataskyddsförordningen?

Beslutsfattare och övrig berörd personal inom er organisation bör vara medvetna om att dataskyddsförordningen kommer att ersätta dagens personuppgiftslag. Ni måste ta reda på hur just er organisation kommer att påverkas och vilka områden ni behöver arbeta mer ingående med.

 

2. Vilka personuppgifter hanterar ni?

Dokumentation behöver göras över vilka uppgifter ni hanterar, på vilket sätt dessa samlas in och om ni lämnar ut dessa uppgifter till en tredje part. Om ni vid något tillfälle lämnat ut en felaktig uppgift till tredje part skall denne informeras så att även deras register kan rättas. En dokumentation över dessa delar visar, tillsammans med mycket annat, att ni följer förordningens bestämmelser.

 

3. Använder ni missbruksregeln idag?

Missbruksregeln innebär att man utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material t.ex. löpande text. Det har ansetts vara tillåtet om det inte utgörs en kränkning av den registrerades integritet. Denna regel kommer att försvinna i och med att förordningen börjar gälla.

Det är viktigt att ni som utnyttjat denna regel tidigare undersöker hur ni kan behandla uppgifterna för att uppfylla förordningens bestämmelser. Har ni en rättslig grund för behandlingen? Och informerar ni de registrerade på ett korrekt sätt?

 

4. Vilka förändringar behöver ni göra i informationen som ni lämnar ut till de registrerade?

När ni samlar in uppgifter har ni redan idag en skyldighet att informera om er identitet och vad ni kommer att använda uppgifterna till. Den nya förordningen innehåller utökade krav för vilken inforamation som lämnas till de registrerade:

  • Rättslig grund för behandling
  • Hur länge uppgifterna kommer att lagras
  • Att man har möjlighet att lämna klagomål om man tycker att uppgifterna behandlats fel, det görs till tillsynsmyndigheten (Datainspektionen)

Det är viktigt att informationen är kortfattad och lätt att förstå.

 

5. Hur ska ni tillmötesgå de registrerades rättigheter?

Se över rutiner för hur ni ska kunna uppfylla de registrerades rättigheter som stärks i den nya förordningen. Det kommer i stort sett vara samma rättigheter som idag men med en förstärkning, t.ex. hur ni raderar personuppgifter och hur ni lämnar ut uppgifter vid förfrågan om det. De viktigaste rättigheterna för de registrerade är att:

  • Få tillgång till sina personuppgifter
  • Få felaktiga uppgifter rättade
  • Få sina uppgifter raderade
  • Kunna invända mot att uppgifterna används för direkt marknadsföring
  • Kunna invända mot att uppgifterna används för automatiserat beslutsfattande och profilering
  • Ha möjlighet att flytta uppgifterna (dataportabilitet)

Ni som företag ska kunna lämna ut information till den registrerade om vilka uppgifter ni behandlar, detta ska göras kostnadsfritt.

En nyhet i förordningen är rättigheten till dataportabilitet, meningen är att det ska underlätta flytt av personuppgifter från en organisation till en annan, vid byte av leverantör eller liknande. För er som företag innebär det att ni måste kunna tillhandahålla informationen i ett allmänt använt och maskinläsbart format. Något som är väldigt viktigt när det gäller dataportabilitet är att säkerställa att begäran kommer från den registrerade, undersök därför vilken typ av lösning ni kan behöva för att säkerställa det.

 

6. Med vilket rättsligt stöd behandlar ni personuppgifter?

Tag reda på vilka olika typer av uppgifter ni behandlar och vilket rättsligt stöd ni gör detta med, dokumentera era slutsatser. Det är inte ovanligt att det finns flera olika alternativ till varför personuppgifterna behandlas, med den nya förordningen följer ett krav om att denna information ska ges till den registrerade vid insamlandet. De rättsliga grunderna för behandling av personuppgifterna är i stort sett oförändrade.

 

7. Hur inhämtar ni samtycke?

Hur går processen för samtycke till vid insamling av personuppgifterna och vart sparas informationen? Det är en viktig del i nya förordningen.

Samtycker får inte ske t.ex. med en i förhand ikryssad ruta, den registrerade måste själv kryssa i den vid insamling av uppgifterna. Dataskyddsförordningen ställer krav på att ett samtycke ska kunna uppvisas vid eventuell kontroll.

 

8. Behandlar ni personuppgifter om barn?

Om er organisation behandlar personuppgifter som rör barn under 16 år krävs ett samtycke från vårdnadshavare. Tänk på att ni även måste kunna visa upp vårdnadshavarens samtycke vid efterfrågan. Enligt den nya förordningen förtjänar barn särskilt skydd så därför måste all information som riktar sig till barnen vara skriven på ett sätt som barn förstår.

 

9. Vad ska ni göra vid personuppgiftsincidenter?

Förordningen innehåller nya bestämmelser om vad ni behöver göra vid upptäckt av dataintrång och förlust av data. Se över rutiner för hur intrången upptäcks, rapporteras och utreds.

Intrång där det kan misstänkas att den registrerades rättigheter och friheter påverkas måste anmälas till tillsynsmyndigheten inom 72 timmar. Om händelsen kan innebära att att den registrerade drabbas av en id-stöld, diskriminering, bedrägerier eller liknande måste även den registrerade informeras så att denne kan vidta nödvändiga åtgärder.

Observera att tiden för att göra anmälan är väldigt kort, se över vem som har ansvar för att göra anmälan i er organisation så att den kan göras inom den utsatta tidsangivelsen.

 

10. Vilka särskilda integritetsrisker finns med er behandling?

Fundera runt om er behandling av personuppgifter är förenad med risker för den registrerades fri- och rättigheter, om så är fallet kan en konsekvensbedömning avseende dataskydd behöva göras. Om en riskfylld personuppgftsbehandling utförs måste en analys göras av vilka konsekvenser behandlingen kan få för den registrerade. Exempel på riskfylld behnadling kan vara register över känsliga personuppgifter eller kameraövervakning på allmän plats. Om risken är hög måste ni samråda med tillsynsmyndigheten innan behandlingen får påbörjas.

Observera att ni vid riskfylld behandling måste utse ett dataskyddsombud.

 

11. Har ni byggt in skydd för personuppgifter i era IT-system?

När ni förändrar i befintliga system eller tar fram helt nya system bör ni redan nu ta hänsyn till dataskyddsförordningen. Genom att ta hänsyn till principer som att inte samla in mer information än det som är nödvändigt, inte lagra information längre än vad som behövs och att endast använda de insamlade uppgifterna till det ursprungliga syftet kan ni på ett enklare sätt följa reglerna från början och förhindra onödiga framtida kostnader. Inbyggnad av säkerhet i IT-systemen kallas för Privacy by design och regleras uttryckligen i förordningen. Vilka åtgärder som behövs beror helt på vilken typ av uppgifter ni som organisation behandlar och till vilket syfte samt vilken risk det kan innebära för den registrerade vad gäller fri- och rättigheter. Ett exempel på åtgärd kan vara dataminimering, vilket innebär att endast behandla de uppgifter som är nödvändiga för ändamålet.

 

12. Vem ansvarar för dataskyddsfrågor i er organisation?

Se över var i er organisation som ansvaret ligger för dataskyddsfrågor. Om det behövs, enligt förordningen, behöver ni även utse ett dataskyddsombud. Det gäller till exempel för offentliga myndigheter och organisationer som utför en riskfylld behandling. Personen som utses måste få kunskap om dataskydd samt vilka åtgärder och krav som förordningen medför. Personen måste även få befogenhet att kunna utföra sitt uppdrag på ett oberoende och effektivt sätt.

På datainspektionen kan ni läsa mer om dataskyddsombudets (nuvarande personuppgiftsombudets) roll. Det finns även utbildningar att gå.

www.datainspektionen.se/personuppgiftsombud/

www.datainspektionen.se/utbildning/

 

13. Har ni verksamhet i flera länder?

Om er organisation bedriver verksamhet i andra EU-länder bör ni ta reda på vilken tillsynsmyndighet i respektive land som ansvarar för tillsynen av personuppgifter ni behandlar. En huvudregel i förordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU´s medlemsländer. Det är därför viktigt för de organisationer som bedriver verksamhet i flera länder att ta reda på vilken dataskyddsmyndighet som ansvarar för just de uppgifter som ni behandlar. Förenklat uttryckt så bestäms detta med hjälp av var er centrala verksamhet finns eller var beslut om personuppgifter fattas.  I organisationer där beslut fattas på huvudkontoret skapar detta normalt inga större problem. Det kan skapa lite problem i organisationer med spridda ansvarsområden där beslut om personuppgifter fattas på olika ställen. Det är därför viktigt att kartlägga vart i er organisation som de viktigaste besluten runt personuppgiftsbehandling fattas.

Mer information om GDPR och de nya reglerna hittar du på Datainspektionens hemsida.

datainspektionen.se