Den nya dataskyddsförordningen (GDPR) ersätter Personuppgiftslagen och ska börja tillämpas den 25 maj 2018. Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. EU vill skapa en tillit till dataskyddet inom den inre marknaden, vilket i sin tur möjliggör utveckling av den digitala ekonomin. Den nya förordningen ställer dock stora krav på den som behandlar och registrerar personuppgifter, vilket kräver att företag och organisationer tar den på allvar. Det är därför hög tid för personuppgiftsansvariga att se över sin organisation och sitt dataskydd. Här listar LegalWorks de 10 största förändringarna i den nya förordningen:
Viss registrering av barn (16 år) kommer att kräva målsmans godkännande. Detta blir aktuellt vid till exempel köp av appar, registrering på sociala medier etc. Medlemsstaterna får dock sänka denna åldersgräns ända ner till 13 år. Vad som kommer gälla i Sverige får vi förslag på den 12 maj när dataskyddsutredningens förslag läggs fram.
Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras, lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.
Myndigheter, offentliga organ och organisationer vars kärnverksamhet är särskilt integritetskänslig (t.ex. de som gör profileringar eller registrerar särskilt känslig information i stor omfattning) måste utse ett så kallat dataskyddsombud. Dataskyddombudet ska bland annat:
Fler organisationer kan komma att behöva utse dataskyddsombud, hur det blir i Sverige vet mer om den 12 maj 2017 när dataskyddsutredningen lägger fram sina förslag.
GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.
Företag behöver endast vända sig till en (1) tillsynsmyndighet inom EU istället för att vända sig till alla berörda tillsynsmyndigheter, som det ser ut idag. Tillsynsmyndigheterna ska sedan på eget initiativ samarbeta med varandra vid behov. En registrerad kan alltid vända sig till tillsynsmyndigheten i hemlandet.
GDPR fastställer att sanktionsavgifter kan påföras vilka kan uppgå till 20 miljoner EUR eller 4% av den totala globala årsomsättningen. Denna nya regeln har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.
Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:
Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera exempel tvistelösning, regressrätt och uppsägning.
Den nya förordningen ställer krav på ett kontinuerligt säkerhetstänk vid design av systemen. Säkerhetsnivån ska vara anpassad efter risk- och hotbilden för personuppgifterna och vara en integrerad del av systemen redan från början. Utöver detta gäller det att systemen och behandlingen av personuppgifter är proaktiva vad gäller dataskydd, till exempel är det viktigt att man endast registrerar sådana personuppgifter som är nödvändiga för ändamålet med behandlingen. Detta kräver en bra kartläggning av på vilka sätt ni behandlar personuppgifterna för att säkerhetsdesignen och funktionerna ska passa både förordningen och syftet med er behandling.
Den nya förordningen fastställer att den personuppgiftsansvariga har ett ansvar att dokumentera alla personuppgiftsincidenter och, såvida det inte är osannolikt att den medför en risk för de registrerades rättigheter och friheter, även anmäla incidenterna till Datainspektionen. Vilka incidenter som ska anmälas, ska vi få mer information om från Datainspektionen under våren.
Tips till på hur arbetet för att uppfylla de nya kraven kan läggas upp:
LegalWorks assisterar gärna din organisation i arbetet med dataskydd. Vi genomför regelbundna utbildningar om den nya dataskyddsförordningen, både grundläggande och riktade mot olika funktioner inom din organisation. Förutom det har vi även mer djupgående utbildningar för dig som dataskyddsombud. Här kan du läsa mer om våra utbildningar: https://legalworks.se/events/
Eventuella frågor kan ställas till Emma Lilja Sjödin, [email protected], 072-300 21 68.