Hårdare krav på hantering av personuppgifter

Den 25 maj 2018 träder EU:s nya dataskyddsförordning (GDPR) i kraft och den kommer att ställa tuffa krav på alla företag som hanterar personuppgifter. Vi går igenom några förändringar nedan.

Vad är GDPR?

Dataskyddsförordningen (som den också kallas) handlar om hanteringen av personuppgifter och kommer att ersätta personuppgiftslagen (PUL), men kommer också att kompletteras med svenska lagregler.

GDPR innehåller ungefär samma regler som PUL när det gäller hantering av personuppgifter, men innehåller även en uppdatering och skärpning av reglerna. Vad innebär då personuppgifter enligt GDPR? Ja, det definieras som all data som kan användas för att identifiera en fysisk person. Det kan t ex handla om personnummer, bilder, adresser eller IP-adresser.

Vilka omfattas av GDPR?

Dataskyddsförordningen gäller för alla som hanterar någon typ av personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde.

Det kan vara uppgifter om anställda eller kunder och röra lönelistor, kundregister, produkter, tjänster och appar etc.

Behandling av personuppgifter

Personuppgifter får bara hanteras på ett säkert och korrekt sätt och hantering av personuppgifter får bara göras om det finns en laglig grund till det. Detta innebär bland annat att det t ex måste finnas samtycke från den berörda personen – vilket innebär att en i förväg ikryssad ruta på en webbplats inte räcker.

Varje behandling av personuppgifter måste ha ett tydligt och specifikt syfte, man kan inte samla in personuppgifter för att det ”kan vara bra att ha”.

Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

En viktig nyhet är att den som behandlar personuppgifter ska ansvara för och kunna visa att man följer bestämmelserna i dataskyddsförordningen (ansvarsskyldighet). Det innebär att man måste dokumentera när, varför, vad och hur man behandlar personuppgifter.

Varje berörd person har dessutom rätt att få tillgång till de uppgifter som företaget har registrerat om denne.

Missbruksregeln tas bort

När GDPR ersätter PUL kommer den så kallade missbruksregeln att tas bort. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser mm också ska användas för det som skrivs om personer i ostrukturerat material, som exempelvis i e-post och word-dokument. All behandling av ostrukturerad data (e-post, ljudfiler, mm) kommer alltså omfattas av lagen och det finns inte längre några undantag.

Får ej sparas längre än nödvändigt

Personuppgifter får bara sparas så länge det är nödvändigt. När ändamålet med personuppgifterna är uppfyllt ska uppgifterna raderas eller avidentifieras.

Dryga böter om inte GDPR efterföljs

Både personuppgiftsansvariga och personuppgiftsbiträden kan drabbas av böter om man inte följer GDPR. Man kan bli tvungen att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning om man inte sköter sig.

Dataintrång måste anmälas

Om det inträffar ett dataintrång eller någon annan incident som påverkar säkerheten måste företaget anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva meddela de registrerade om vad som hänt.

Förbered dig!

Den nya förordningen ställer alltså stora krav på den som behandlar och registrerar personuppgifter. GDPR träder i kraft först om ca ett år men redan nu bör du gå igenom vad ni har för personuppgiftsbehandling och se över vad ni måste göra för att uppfylla förordningens krav. Det kommer bland annat att krävas nya rutiner för hantering av personuppgifter och register kan behöva ses över och uppdateras.

Europaparlamentets och rådets förordning (EU) nr 2016/679