Dataskyddsförordningen – nya regler för hantering av personuppgifter
Nya regler för hur ditt företag eller organisation ska hantera personuppgifter
En ny dataskyddsförordning trädde i kraft 25 maj 2018. Förordningen ersatt den tidigare Personuppgiftslagen (PUL). Den nya förordningen är en skärpning av personuppgiftsskyddet.
Den nya lagen förändrar kraven på hur personuppgifter får hanteras. Har du ett kundregister, ett löne- eller personalregister, eller hanterar du i andra sammanhang personuppgifter, det vill säga uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person, då ska du veta vilka regler som gäller för lagring av uppgifterna.
Det är din skyldighet att så snart som möjligt sätta sig in i vad de nya reglerna innebär för er verksamhet. Syftet med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt individers rätt till skydd av personuppgifter.
SLAO har tagit fram en del information till dig som påverkas av detta. Sammanfattningen går att läsa i denna artikel från SLAO Xpress nr 3 2017/18 eller längre ned på denna sida.
Visita
Visita har en del matnyttigt på deras hemsida och en film på ämnet. Läs mer
Svenskt Näringsliv
Läs Svenskt Näringslivs handbok Företagen och dataskyddsförordningen.
Datainspektionen
Datainspektionen kommer att vara tillsynsmyndighet rörande dataskyddsförordningen.
Klicka hem Datainspektionens ”Enkel kurs i Dataskydd”
På Datainspektionens webb hittar du ytterligare information och material om förordningen.
Källor. Datainspektionen, Svenskt Näringsliv, Visita.
Sammanfattning av regler kring GDPR
En ny dataskyddsförordning (GDPR) trädde i kraft i 25 maj 2018. Förordningen ersätter tidigare Personuppgiftslagen (PUL) och är en skärpning av personuppgiftsskyddet.
Den nya lagen förändrar kraven på hur personuppgifter får hanteras. Exempel på var personuppgifter kan finnas: Kundregister, löne- eller personalregister, nyhetsmejl, deltagarlistor, bokningssystem, uthyrningssystem, skipassystem med bilder, namn, ekonomisystem m.fl.
Vad är en personuppgift?
Det är en uppgift som var för sig eller tillsammans kan knytas till en individ. Exempel: Personnummer, namn, e-post, telefonnummer, bilder, ljudupptagningar, elektroniksidentitet t.ex. IP-nummer och cookies, ”Nick-Name”, hälsodata, köphistorik, krypterade uppgifter.
Vad är personuppgiftsbehandling?
Här följer några exempel på vad behandling av personuppgifter kan vara. Insamling, registrering, organisering, strukturering, lagring, framtagning. läsning, muntlig redogörelse.
Ostrukturerad information som mötesprotokoll, deltagarlistor, löpande text, e-post, bilder, ljudfiler m.m där personuppgifter finns med är inte tillåtet att lagra.
Krav på ändamål
Personuppgifter får endast samlas in om ett uttryckligt ändamål för detta angetts. Uppgifterna får inte i efterhand användas till andra ändamål än de som angetts. Det ska även finnas information om ändamålets tidsbegränsning, när ändamålet är uppnått skall personuppgifterna raderas. Uppgifterna får inte behandlas under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna samlades in.
Personen har rätt att veta
Personen har även rätt att få information om den behandling som görs av uppgifterna, tillgång till sina egna uppgifter och rätt att bli glömd vilket betyder att informationen när som helst kan raderas. Alla personer vars uppgifter behandlas, behöver vara informerade om behandlingen och ha fått information om sina rättigheter.
Den registrerade ska kunna få tillgång till information om bland annat: Identitet och kontaktuppgifter för den som har ansvar för uppgifterna, vilka personuppgifter som behandlas, ändamål, den period under vilken uppgifterna kommer att lagras, den registrerades rättigheter, den registrerade har också rätt att begära ut uppgifter om vilka uppgifter som behandlas.
Samtycke
Personuppgifter får bara behandlas om den registrerade har gett sitt samtycke till detta. Krav på samtycke ska vara: Frivilligt, specifikt, otvetydigt, individuellt, informerat. Samtycket kan när som helst återkallas av den som medgivit det.
Roller för den som hanterar personuppgifter.
Det finns olika roller för de som hanterar personuppgifterna. Den Personuppgiftsansvarig är den som bestämmer om ändamål med och medlen för behandling av personuppgifterna. Den personuppgiftsansvarige ansvarar gentemot den registrerade. Den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen utförs i enlighet med förordningen.
Som personuppgiftsansvarig är du skyldig/ansvarar för: att vidta åtgärder (tekniska och organisatoriska) för att skydda de registrerades personliga integritet, att föra ett register över era behandlingar av personuppgifter, att kunna visa upp för tillsynsmyndigheterna att ni lever upp till lagstiftningens krav, att utvärdera och uppdatera dokumentation, policyer, rutinbeskrivningar, analyser med mera, att teckna biträdesavtal/uppdatera befintligt avtal med alla era leverantörer, att informera de registrerade om att de är registrerade, varför, under vilka förutsättningar och vad ni avser att göra med personuppgifterna som ni samlar in.
Personuppgiftsbiträde
Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med den personuppgiftsansvariges dokumenterade instruktioner. Personuppgiftsbiträdet kan höra till företag eller organisationerna som tillhandahåller IT-system av olika slag, ekonomisystem, bokningssystem m.m.
Biträdesavtal
Det måste finnas avtal mellan den ansvarige och biträdet som reglerar den behandling som biträdet ska utföra. Förordningen innehåller tydliga krav om vad som ska finnas med i avtalet. Biträdesavtal ska tecknas med externa leverantörer som handhar personuppgifter. Personuppgiftsbiträdet ansvarar för: att ta fram och teckna ett Personuppgiftsbiträdesavtal med er (detta avtal reglerar ansvarsförhållandet runt personuppgifter), att bistå i de åtgärder som behöver göras för att er lösning ska uppfylla lagkraven.
Krav på säkerhet
Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en god säkerhetsnivå. Säkerhet är allt från lås på dörrar, begränsning av anställdas åtkomst till personuppgifter och hantering av lokalt sparade personuppgifter, till system i form av krypteringar, brandväggar med mera.
Konsekvenser
Datainspektionen är tillsynsmyndighet för att förordningen efterlevs. Vid överträdelse av dataskyddsförordningen påförs en administrativ sanktionsavgift. Sanktionsavgifterna kan uppgå till 20 miljoner euro eller fyra procent av den globala omsättningen i företaget. Den som lidit skada p.g.a. behandling av personuppgifterna i strid med dataskyddsförordningen har rätt till skadestånd.