GDPR

GDPR


GDPR – Är du förberedd på den nya dataskyddsförordningen?

Nästa år börjar EUs nya regelverk för persouppgiftsbehandling, dataskyddsförordningen, GDPR, att gälla. Detta innebär ett betydligt större ansvar för företag som hanterar personuppgifter i ett kund, löne- eller personalregister. Det kan vara en god idé att börja förbereda sig redan nu.


Den 25 maj 2018 träder EUs nya regelverk i kraft. Dataskyddsförordningen (GDPR) kommer då att ersätta personuppgiftslagen (PUL). För alla företag som har någon form av personuppgifter lagrade kommer detta att innebära ett större ansvar. En övergripande tanke med de nya reglerna är att tydligare betona att det företag, myndighet eller annan organisation som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs och även kunna visa det. Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen (personuppgiftsansvarig) och när man utför den på uppdrag av någon annan (personuppgiftsbiträde).


Några av nyheterna med GDPR jämfört med PUL är att man måste göra en konsekvensbedömning innan man planerar en ny personuppgiftsbehandling som kan innebära särskilda risker för de registrerade personerna. Man bedömer helt enkelt vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna. Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller annan förlust av uppgifter, måste detta anmälas till Datainspektionen inom 72 timmar. Eventuellt kan man också behöva informera de registrerade personerna. Datainspektionen kan också komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. I personuppgiftslagen finns idag en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, den så kallade missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså även den följa förordningens regler.


Dataskyddsförordningen kommer att lägga stor vikt vid den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs, vilket kan medföra krav på ökad dokumentation. Tillsynsmyndigheten har möjlighet att döma ut en administrativ avgift på upp till 20 miljoner euro eller fyra procent av omsättningen när en organisation missköter sin behandling av personuppgifter. Därför kommer en anpassning till dataskyddsförordningen att kräva att man ser över sin interna styrning och de riktlinjer man idag har för att hantera personuppgifter. Datainspektionen har satt samman tretton frågor som man bör ta ställning till för att förbereda sig på bästa sätt.


Ytterligare information om dataskyddsförordningen och förberedelser för både personuppgiftsansvariga och personuppgiftsbiträden finns på Datainspektionens webbplats. Och du – vänta inte för länge med dina förberedelser, det kan i värsta fall stå er dyrt. Srf konsulterna kommer under hösten att arrangera seminarier och kurser i ämnet för hur man bör agera, håll utkik på srfutbildning.se. Redan nu kan du testa var du och ditt företag befinner er inför övergången till nya GDPR på srfkonsult.se/gdpr


Checklista GDPR:


1.  Är er organisation medveten om EUs nya dataskyddsförordning?

2.  Vilka personuppgifter hanterar ni?

3.  Använder ni missbruksregeln idag?

4. Vilken information lämnar ni?

5 . Hur ska ni tillmötesgå de registrerades rättigheter?

6.  Med vilket rättsligt stöd behandlar ni personuppgifter?

7 . Hur inhämtar ni samtycke?

8.  Behandlar ni personuppgifter på barn?

9.  Vad ska ni göra vid personuppgiftsincidenter?

10. Vilka särskilda integritetsrisker finns med er behandling?

11. Har ni byggt in skydd för personuppgifter i era it-system?

12. Vem ansvarar för dataskyddsfrågor i er organisation?

13. Har ni verksamhet i flera länder?