Ny dataskyddslag (GDPR)
  • Nya dataskyddsförordningen (GDPR)

    – viktigt att känna till och agera på

  • Den 25 maj nästa år träder den nya dataskyddsförordningen eller GDPR (General Data Protection Regulation) i kraft. Som förordningen gäller den direkt som ny lag och ersätter personuppgiftslagen (PUL). Vad är då viktigt att känna till och vilka aktiviteter kan vara nödvändiga att vidta? Jurister bevandrade inom området säger rent generellt att de verksamheter som tagit hänsyn och implementerat PUL har gjort grundjobbet för att implementera GDPR. Dock vet vi av erfarenhet att många verksamheter, både privata och offentliga, inte har brytt sig så mycket eftersom påföljderna varit nästan obefintliga med en Datainspektion som varit tandlös utan nödvändigt mandat.

  • Med nya GDPR förändras en hel del även om vissa delar är väldigt snarlika dagens PUL. Ett av huvudsyftena med nya GDPR är att uppnå en harmonisering inom EU, hänsyn till teknikutveckling och nya sociala medier (Facebook, Instagram, etc.), samt att myndigheter som Datainspektionen inom EU får klart mer muskler att övervaka och utdöma höga bötesbelopp till de verksamheter som inte efterföljer lagen.

    Förändringar och lagskärpningar

    Kort kan sägas att jämfört med PUL så innehåller GDPR följande förändringar och lagskärpningar:

    • Förstärkning av individens rättigheter
    • Förstärkt skydd av mindreårigas (barns) och hantering av deras personuppgifter
    • Utökat ansvar för personuppgiftsansvarig (PUA) – t ex personregister inom en kommun eller en kundklubb hos ett privat handelsföretag
    • Utökat ansvar för personuppgiftsbiträde (PUB) –  t ex en underleverantör till PUA
    • Accountability – att som verksamhet kunna påvisa (bevisa) att man följer nya GDPR, t ex genom att föra ett register över alla personuppgiftsbehandlingar
    • ”Privacy by design”,  vilket i praktiken innebär att PUA, vid systemadaptering och utveckling, redan från början ska ta hänsyn till skyddets nivå i förhållande till risken med behandlingen av personuppgifter till vad som föreskrivs i den nya förordningen
    • Införande av ”dataskyddsombud” som en mer formell roll som ska finnas inom verksamheten. Dvs. en senior roll med ett uttalat mandat och oberoende från verksamhetens ledning (lite förenklat att jämföra med en revisor inom ekonomiområdet)
    • Skärpta sanktionsmöjligheter och ökad tillsyn av efterlevande av GDPR
    • En intention att komma bort från personnummer (eller motsvarande inom andra EU-länder) som identitetsparameter

    Dataskyddsombudet – ny yrkesroll

    Dataskyddsombudet kommer enligt ovan att få en central och viktig position inom verksamheter som hanterar en mängd personuppgifter med fokus framförallt på barns personuppgifter. I korthet kan sägas om dataskyssombudets roll:

    • Ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra uppgifterna (dvs. en senior person med pondus och integritet)
    • Ska agera självständigt och oberoende och ha tillräckliga resurser för att utföra sitt uppdrag
    • Ska på ett korrekt sätt och i god tid delta i alla frågor som rör dataskydd
    • Ska rapportera direkt till högsta ledningsnivå

    Mer konkret innebär detta operativt att dataskyddsombudet ska utföra följande:

    • Informera och ge råd
    • Övervaka efterlevnaden av GDPR och PUA:s strategi för skydd av personuppgifter
    • Ge råd och övervaka genomförandet och utföra konsekvensanalyser
    • Samarbeta med och fungera som kontaktpunkt för Datainspektionen
    • Fungera som kontaktpunkt för registrerade i verksamhetens databaser
    • I sitt uppdrag ta hänsyn till de risker som förknippas med en behandling av personuppgifter (art, omfattning, sammanhang, syfte)

    Stärkta rättigheter

    Om vi sedan går över och tittar på de som valt själva att registrera sina persondata (oftast privat sektor) eller är registrerade ”by default” t ex genom att ha hemvist i en kommun. Vilka stärkta rättigheter har då den individ som lämnat sina personuppgifter:

    • Detaljerad, tydlig, begriplig och lätt tillgänglig information (begära ut)
    • Dataportabilitet (t ex utökat lagligt stöd och underlättande att som kund byta leverantör)
    • Begränsad behandling (restriktioner för verksamheter att fritt samköra personuppgifter a la ”big data” i marknadsföringssyfte)
    • Motsätta sig behandling (göra invändning)
    • De ”gamla” rättigheterna finns kvar men är mer specificerade och skärpta t.ex. rätten till registerutdrag, rättelse, radering m.m. Dvs. PUA måste kunna respondera snabbt på en begäran från personuppgiftslämnaren (t ex kund eller avnämare inom en kommun)

    Checklista över nödvändiga aktiviteter

    Hur ska då verksamheter inom både privat och offentligheter förbereda sig för den nya lagstiftningen? Det korta svaret är att ”man borde börjat igår”, men desto bättre att börja idag och inte imorgon. Är man oförberedd kan man som enkel checklista vidta följande aktiviteter:

    • Utforma en strategi för hur verksamheten arbetar med dataskyddsfrågor
    • Inventera organisationens interna rutiner, policys, vägledningar etc. Vad saknas? Vad behöver kompletteras?
    • Kartlägg alla behandlingar av personuppgifter
    • Kontrollera lagligheten och sammanställ ett register över behandlingarna
    • Utse ett personuppgiftsombud (dataskyddsombud)
    • Se till att personuppgiftsombudet har nödvändiga resurser för att kunna utföra sina uppgifter
    • Ta fram nya mallar för biträdesavtal, riskanalyser och konsekvensanalyser
    • Utveckla rutiner för att anmäla och informera om dataskyddsincidenter
    • Se över informationen till registrerade
    • Ta fram ”kanaler” och processer för att de registrerade på ett enkelt sätt ska kunna utöva sina rättigheter
    • Arbeta förebyggande, löpande och uppföljande med dataskyddsfrågor
    • Följ utvecklingen och eventuella rättsfall inom den nya lagstiftning

    Källa: Telemanagement Sverige AB