Inga produkter i varukorgen.
Gör dig redo för EU:s nya regler för dataskydd
IT Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Den nya dataskyddsförordningen gäller för alla organisationer som lagrar eller hanterar personlig och känslig information om sina anställda eller sina kunder.
Dataskyddsförordningen innebär att företag och myndigheter förväntas ta ett större ansvar för sin hantering av personuppgifter. Bland annat införs krav på att genomföra konsekvensbedömningar av personuppgiftsbehandlingar, och att utse ett dataskyddsombud för att se till att bestämmelserna efterlevs.
Rapportera intrång
Skulle ett företag bli utsatt för dataintrång eller på något sätt tappa kontrollen över insamlade personuppgifter, måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, inom loppet av 72 timmar. Ett allvarligt läge kan till exempel vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.
Konsekvensbedömning
Om ett bolag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora risker för enskilda individers personliga integritet, måste bolaget först göra en konsekvensbedömning. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. Skulle konsekvensanalysen visa att risken för att den personliga integriteten skadas är hög, måste företaget kontakta Datainspektionen, som då gör en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.
Rätten att strykas
Rätten att bli raderad handlar om att privatpersoner kan kräva att raderas fullständigt från ett bolags databas om det inte föreligger särskilda bestämmelser som hindrar detta. Undantagen gäller till exempel brottsregister och patientjournaler. En annan viktig nyhet i förordningen är att det införs sanktioner på upp till 20 miljoner euro, eller upp till 4 procent av ett företags årliga omsättning, för brott mot dataskyddsförordningens krav.
Certifiering av hanteringen
En annan nyhet i regelverket är att det ska finnas en möjlighet för personuppgiftsansvariga att få sin personuppgiftsbehandling certifierad, om den lever upp till EU:s krav. Certifieringen som utförs av ackrediterad tillsynsmyndighet gäller i tre år och kan dras tillbaka om bolaget eller organisationen inte sköter sig.
Här är checklistan som hjälper dig att förbereda organisationen för den nya EU-förordningen.
Fakta
Sex viktiga förändringar
1. Strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka uppgifterna är och hur de hanteras.2. Personuppgiftshantering får bara ske i samtycke och uppgifterna får inte användas för något annat är vad individen samtyckt till. Personer under 16 år kan inte samtycka.3. Företag och myndigheter måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det räcker inte att dokumentera rutiner, företagen måste visa att rutinerna följs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna även göra en integritetsanalys.4. Varje företag/myndighet med fler än 250 anställda måste ha en dataskyddschef. Personen har större ansvar och fler skyldigheter än tidigare. I vissa sammanhang behövs ett personuppgiftsombud, när det handlar om särskilt riskfylld personuppgiftshantering. Ett personuppgiftsombud är en person som ser till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. 5. Dataskydd ska vara standard i alla hantering av personuppgifter – känsliga data ska alltid krypteras.6. Datainspektionen kan utfärda böter till de företag och myndigheter som missköter dataskyddet.
