Den nya dataskyddsförordningen (GDPR) ersätter Personuppgiftslagen och ska börja tillämpas den 25 maj 2018. Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. EU vill skapa en tillit till dataskyddet inom den inre marknaden, vilket i sin tur möjliggör utveckling av den digitala ekonomin. Den nya förordningen ställer dock stora krav på den som behandlar och registrerar personuppgifter, vilket kräver att företag och organisationer tar den på allvar. Det är därför hög tid för personuppgiftsansvariga att se över sin organisation och sitt dataskydd. Här listar LegalWorks de 10 största förändringarna i den nya förordningen:

1. Den enskildes rättigheter förstärks på en rad punkter. Till exempel:

• Samtycket: Samtycket ska vara tydligare, lätt att hitta och skrivet på ett lättbegripligt språk. Observera att en förifylld ruta för samtycke inte räcker.
• Information: De registrerade ska få mycket mer information om behandlingen av personuppgifter än tidigare, vilket innebär att de allra flesta personuppgiftsansvariga måste skriva om sina informationstexter till både kunder och anställda.
• Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att de raderas.
• Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).

2. Skyddet för barn utökas

Viss registrering av barn (16 år) kommer att kräva målsmans godkännande. Detta blir aktuellt vid till exempel köp av appar, registrering på sociala medier etc. Medlemsstaterna får dock sänka denna åldersgräns ända ner till 13 år. Vad som kommer gälla i Sverige får vi förslag på den 12 maj när dataskyddsutredningens förslag läggs fram.

3. Missbruksregeln försvinner

Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras, lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.

4. Dataskyddsombud

Myndigheter, offentliga organ och organisationer vars kärnverksamhet är särskilt integritetskänslig (t.ex.  de som gör profileringar eller registrerar särskilt känslig information i stor omfattning) måste utse ett så kallat dataskyddsombud. Dataskyddombudet ska bland annat:

• Utses baserat på sina yrkesmässiga kvalifikationer och ha särskild kunskap inom dataskydd.
• Ha som uppgift att informera om dataskyddsfrågor i sin organisation
• Ska konsulteras när man gör dataskyddsanalyser och IT-inköp.
• Revidera hanteringen av personuppgifter kontinuerligt.
• Fungera som kontaktperson mot de registrerade och dataskyddmyndigheten, vilket i Sverige är Datainspektionen.
• Rapportera direkt till högsta förvaltningsnivå, utan mellanled.
• Få tillräckliga medel för att kunna utföra sina arbetsuppgifter och inte utsättas för sanktioner eller avsättas för att denne utför sina arbetsuppgifter.
• Inte få några instruktioner om hur arbetet ska skötas och vad som ska göra.

Fler organisationer kan komma att behöva utse dataskyddsombud, hur det blir i Sverige vet mer om den 12 maj 2017 när dataskyddsutredningen lägger fram sina förslag.

5. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.

6. One stop shop

Företag behöver endast vända sig till en (1) tillsynsmyndighet inom EU istället för att vända sig till alla berörda tillsynsmyndigheter, som det ser ut idag. Tillsynsmyndigheterna ska sedan på eget initiativ samarbeta med varandra vid behov. En registrerad kan alltid vända sig till tillsynsmyndigheten i hemlandet.

7. Sanktionsavgifter

GDPR fastställer att sanktionsavgifter kan påföras vilka kan uppgå till 20 miljoner EUR eller 4% av den totala globala årsomsättningen. Denna nya regeln har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.

8. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:

• Det blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga
• Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.
• Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar
• Kan drabbas av sanktionsavgifter och förelägganden från Datainspektionen
• Kan behöva revidera sina tjänstevillkor eftersom kraven på hur biträdesavtalet ska se ut, utökas
• Behöver se över systemen så att de uppfyller kraven på privacy by design och privacy by default

Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera exempel tvistelösning, regressrätt och uppsägning.

9. Privacy by design och privacy by default

Den nya förordningen ställer krav på ett kontinuerligt säkerhetstänk vid design av systemen. Säkerhetsnivån ska vara anpassad efter risk- och hotbilden för personuppgifterna och vara en integrerad del av systemen redan från början. Utöver detta gäller det att systemen och behandlingen av personuppgifter är proaktiva vad gäller dataskydd, till exempel är det viktigt att man endast registrerar sådana personuppgifter som är nödvändiga för ändamålet med behandlingen. Detta kräver en bra kartläggning av på vilka sätt ni behandlar personuppgifterna för att säkerhetsdesignen och funktionerna ska passa både förordningen och syftet med er behandling.

10. Anmälningsplikt avseende personuppgiftsincidenter

Den nya förordningen fastställer att den personuppgiftsansvariga har ett ansvar att dokumentera alla personuppgiftsincidenter och, såvida det inte är osannolikt att den medför en risk för de registrerades rättigheter och friheter, även anmäla incidenterna till Datainspektionen. Vilka incidenter som ska anmälas, ska vi få mer information om från Datainspektionen under våren.

Tips till på hur arbetet för att uppfylla de nya kraven kan läggas upp:

1. Sanktionera och avsätt tid och en budget för dataskyddsfrågorna
2. Informera och utbilda inom organisationen
3. Kartlägg all hantering av personuppgifter och era dataflöden
4. Gör en juridisk utvärdering och en gap-analys
5. Prioritera och ta fram åtgärdsplaner
6. Åtgärda era problem
7. Ta fram styrande dokument och utveckla rutiner
8. Förvalta och uppdatera vid behov
9. Se till att ha bra möjligheter till dokumentation
10. Se över alla informationstexter och biträdesavtal

LegalWorks assisterar gärna din organisation i arbetet med dataskydd. Vi genomför regelbundna utbildningar om den nya dataskyddsförordningen, både grundläggande och riktade mot olika funktioner inom din organisation. Förutom det har vi även mer djupgående utbildningar för dig som dataskyddsombud. Här kan du läsa mer om våra utbildningar: https://legalworks.se/events/

Eventuella frågor kan ställas till Emma Lilja Sjödin, [email protected], 072-300 21 68.