Om lite drygt ett år ersätts den svenska personuppgiftslagen (PUL) med en ny dataskyddsförordning. Uppfyller ditt företag de krav som ställs? Det här bör du tänka på när du börjar förbereda dig inför EU:s nya dataskyddsförordning.
25 maj 2018 träder den nya europeiska dataskyddsförordningen i kraft och ersätter PUL. Även om många av reglerna i dataskyddsförordningen är samma som i den svenska personuppgiftslagen innehåller förordningen en hel del nyheter.
Det är hög tid att börja förbereda sig, och för den som inte vill riskera dryga böter gäller det att hålla tungan rätt i mun. Axel Tandberg, jur kand och vd på Tandberg & Partners, föreläser om de nya reglerna och hjälper företag att implementera dem.
– Den stora skillnaden är att företagen tidigare mer eller mindre ägde de personuppgifter som samlats in. De nya reglerna innebär att privatpersoner äger sina egna uppgifter, medan företagen bara har dem till låns.
Det nya regelverket innebär ett större ansvar för företagen, som måste kunna visa exakt hur insamlade uppgifter används och hanteras.
– Skyddet för individens integritet stärks och ett större antal uppgifter blir konfidentiella.
Axel Tandberg rekommenderar alla företag att börja se över sina rutiner redan nu, för att hitta eventuella brister i systemen och hinna åtgärda dem i tid. Frågor man kan ställa sig är till exempel: Hur samlas uppgifterna in? Vem har tillgång till dem? Kommer de vid något tillfälle i kontakt med en tredje part?
– Det blir även viktigare att informera kunder om hur uppgifterna de lämnar kommer att hanteras, säger han.
När det gäller känslig information som etnicitet, sexuell läggning, religion och hälsa kommer dels ett aktivt samtycke krävas för att registrering av uppgifterna ska tillåtas, dels en motivering till varför de behövs. Där det tidigare räckt att kryssa i en ruta, ökar nu kraven på ett explicit medgivande.
– För att det ska vara tillåtet att samla in uppgifterna måste det även finnas ett berättigat intresse av dem, säger Axel Tandberg.
För den som vill läsa mer om vad de nya reglerna kommer att innebära finns information på Datainspektionens webbplats: www.datainspektionen.se/
Har du koll på din inbox?
I den gamla personuppgiftslagen gjordes skillnad mellan å ena sidan strukturerat material i form av traditionella register, databaser och system av olika slag och å andra sidan ostrukturerat material i form av löpande text, ljud och bild.
Tidigare gällde en förenklad reglering för ostrukturerad text, ett undantag som med den nya dataskyddsförordningen försvinner. Det innebär att företag nu måste se över sina rutiner för lagring av till exempel e-post, och skapa system för hur informationen som finns där ska skyddas och hanteras på ett sätt som har stöd i lagen.
Checklista
Steg för steg – 14 punkter för att vara förberedd när de nya reglerna träder i kraft.
1
Vilka personuppgifter behandlar ni i organisationen idag, och hur hanterar ni dem?
2
Dokumentera processerna.
3
Identifiera organisationens flöden.
4
Vilka säkerhetsmekanismer finns, internt och externt?
5
Vilka är era skyldigheter – är ni personuppgiftsansvariga (PuA) eller personuppgiftsbiträden (PuB)?
6
Diskutera frågan i styrelsen. Fördela resurser för att gå igenom och dokumentera personuppgiftsbehandlingen, säkerställa säkerheten kring databasen samt skapa/köpa ett digitalt system för att registrera all behandling.
7
Ta hjälp av en jurist.
8
Informera alla i organisationen om förändringarna.
9
Utse ett dataskyddsombud.
10
Se till att integritetspolicyn och handhavandet av personuppgifter är dokumenterad, uppdaterad och kommunicerad till medarbetare.
11
Utbilda alla medarbetare.
12
Uppdatera organisationens IT-struktur och säkerhet, utveckla ”privacy by design”.
13
Gå igenom och anpassa alla avtal som berör personuppgiftsbehandling.
14
Utveckla rutiner för hur ni ska jobba med andra, då alla kommer att bli ansvariga för allt som görs – i alla led.
Sanktionsavgifter
De nya reglerna i sin helhet finns att läsa i artikel 83 i dataskyddsförordningen. Till nyheterna hör bland annat att EU-ländernas dataskyddsmyndigheter kommer att kunna utdöma en sanktionsavgift för brott mot särskilt angivna bestämmelser i förordningen.
Överträdelserna handlar om sådant som inte heller tidigare varit tillåtet, skillnaden är att nu kan sanktionsavgifter på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen utdömas. Omständigheter som avgör avgiftens belopp är till exempel överträdelsens karaktär och svårighetsgrad, om den skett med uppsåt eller av oaktsamhet, vilka åtgärder som vidtagits för att lindra skadan och om man gjort ekonomisk vinst till följd av brottet.
Privacy by design
Principen om “Privacy by design” innebär att särskilda integritetsskyddsmekanismer byggs in redan från början när ett IT-system eller en IT-lösning tas fram. Det är alltså, som begreppet privacy by design antyder, fråga om ett inbyggt integritetsskydd.
Det är inte tillåtet att ...
... samla in personuppgifter från barn under 16 år utan att inhämta samtycke från vårdnadshavare.
... samla in och registrera känsliga personuppgifter utan laglig grund.
... spara identifierbara uppgifter när det inte längre finns någon motiverat behov av dem.
... underlåta att rätta sig efter förelägganden från dataskyddsmyndigheter.
... använda personuppgifter på sätt som uppgiftslämnaren inte informerats om.
... spara e-post på ett ostrukturerat sätt.
... delge tredje part insamlade uppgifter utan att uppgiftslämnaren informerats.
Från personuppgiftslag till dataskyddsförordning
24 oktober 1998
Den svenska personuppgiftslagen, PUL, träder i kraft. Lagen bygger på ett EU-direktiv från 1995, det så kallade dataskyddsdirektivet.
25 januari 2012
Europeiska kommissionen presenterar ett förslag till nya regler om dataskydd och personuppgiftsbehandling. Syftet var att modernisera reglerna i dataskyddsdirektivet och få en mer enhetlig tillämpning inom EU.
14 april 2016
Europaparlamentet antar formellt dataskyddsförordningen, sex dagar efter att EU:s ministerråd gjort detsamma.
25 maj 2018
Dataskyddsförordningen ersätter den svenska personuppgiftslagen.
Följ reglerna, annars väntar böter
De nya reglerna berör i princip alla företag som har någon form av kundregister. Konsekvenserna om de inte följs är allvarliga.
Den som bryter mot EU:s nya dataskyddsförordning kan tvingas betala upp till fyra procent av den globala årsomsättningen i sanktionsavgifter. Nivån på sanktionsavgifterna avgörs bland annat av hur mycket uppgifter det rör sig om. Att aldrig samla in mer information än vad som är absolut nödvändigt är därför en bra tumregel.
För vissa verksamheter medför de nya reglerna en skyldighet att utse ett dataskyddsombud, en funktion som delvis motsvarar rollen som i PUL kallades för personuppgiftsombud. Det gäller offentliga myndigheter och verksamheter som involverar en särskilt riskfylld behandling, exempelvis systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter.
Dataskyddsombud är ansvariga dels för att rapportera till styrelsen om något går fel, dels för att övervaka verksamheten och svara på frågor från allmänheten. Medan personuppgiftsombud tidigare ofta skött sina uppgifter vid sidan om sitt ordinarie arbete kommer den nya rollen att kräva ett allt större engagemang.
– Dataskyddsombuden måste vara involverade i allt. Det är viktigt att välja personer med rätt kompetens och ett intresse för de här frågorna, och att avsätta ordentligt med arbetstid, säger Axel Tandberg, som hjälper företag att implementera de nya reglerna.
Sammanfattningsvis kan man säga att dokumentationen och öppenheten är a och o när de nya lagarna träder i kraft.
– Se till att ha ordning och reda. Dokumentera och informera om allt som görs och gör ingenting du inte berättat att du ska göra. Kom ihåg att företaget bara har uppgifterna till låns, säger Axel Tandberg.
Nina Quist, Josefin Svenberg