nr-logo

Strategisk nytta för varje vd.

I Sverige räknas alla uppgifter som direkt eller indirekt kan kopplas till en specifik person som personuppgifter. Det omfattar bland annat namn, bilder, ip-adress, mejladress och personnummer.
I Sverige räknas alla uppgifter som direkt eller indirekt kan kopplas till en specifik person som personuppgifter. Det omfattar bland annat namn, bilder, ip-adress, mejladress och personnummer.

Gör dig redo för EU:s nya regler för dataskydd

Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Den nya dataskyddsförordningen gäller för alla organisationer som lagrar eller hanterar personlig och känslig information om sina anställda eller sina kunder.

Dataskyddsförordningen innebär att företag och myndigheter förväntas ta ett större ansvar för sin hantering av personuppgifter. Bland annat införs krav på att genomföra konsekvensbedömningar av personuppgiftsbehandlingar, och att utse ett dataskyddsombud för att se till att bestämmelserna efterlevs.

Rapportera intrång

Skulle ett företag bli utsatt för dataintrång eller på något sätt tappa kontrollen över insamlade personuppgifter, måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, inom loppet av 72 timmar. Ett allvarligt läge kan till exempel vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

Konsekvensbedömning

Om ett bolag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora risker för enskilda individers personliga integritet, måste bolaget först göra en konsekvensbedömning. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. Skulle konsekvensanalysen visa att risken för att den personliga integriteten skadas är hög, måste företaget kontakta Datainspektionen, som då gör en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.

Rätten att strykas

Rätten att bli raderad handlar om att privatpersoner kan kräva att raderas fullständigt från ett bolags databas om det inte föreligger särskilda bestämmelser som hindrar detta. Undantagen gäller till exempel brottsregister och patientjournaler. En annan viktig nyhet i förordningen är att det införs sanktioner på upp till 20 miljoner euro, eller upp till 4 procent av ett företags årliga omsättning, för brott mot dataskyddsförordningens krav. 

Certifiering av hanteringen

En annan nyhet i regelverket är att det ska finnas en möjlighet för personuppgiftsansvariga att få sin personuppgiftsbehandling certifierad, om den lever upp till EU:s krav. Certifieringen som utförs av ackrediterad tillsynsmyndighet gäller i tre år och kan dras tillbaka om bolaget eller organisationen inte sköter sig.

Här är checklistan som hjälper dig att förbereda organisationen för den nya EU-förordningen.

 

Taggar:

Fler nyheter

Så förenklar du ditt hållbarhetsarbete

Att arbeta med miljö- och hållbarhetsfrågor blir allt viktigare. Men hur ska man hinna med som småföretagare?
Hanna Cederqvist, ansvarig för företagarorganisationen Företagarnas hållbarhetsprojekt har tipsen som hjälper småföretagen på traven.

Prenumerera på vårt nyhetsbrev

Vd-tidningens nyhetsbrev är helt gratis. Anmäl dig här