/, Premium Software/GDPR – Vad innebär det för dig

GDPR – Vad innebär det för dig

GDPR är EU:s nya dataskyddsförordning och står för ”General Data Protection Regulation”.
I Sverige har vi haft personuppgiftslagen (PUL) sedan 1973, den ersätts av GDPR som träder i kraft den 25 maj 2018.
Den nya dataskyddsförordningen är tänkt att gälla alla EU-medborgare och ge ett skydd för den enskildes integritet och skall göra hanteringen av personuppgifter blir mer transparent och säker för framtiden. GDPR påverkar alla som samlar in och lagrar personuppgifter inom EU, men också alla som hanterar personuppgifter från EU-medborgare.

Kortfattat handlar förordningen om att alla som samlar in personuppgifter skall ha ett syfte med det och att uppgifterna inte skall sparas längre än nödvändigt. Vad som räknas som nödvändigt beror på från fall till fall.

Vad är då personuppgifter? Sammanfattande kan man säga att det är alla uppgifter som går att spåra tillbaka till en person. Registreringsnumret på en bil kan vara en personuppgift liksom det självklara personnumret. GDPR skiljer på ”personuppgifter” och ”känsliga uppgifter”. De här båda uppgiftskategorierna har olika skyddsnivåer.

Om du hanterar det som benämns som ”Känsliga uppgifter” i ditt register så behöver du ha ett speciellt undantag för detta. Har du inte ett undantag så är det förbjudet att hantera uppgifter om personers politiska åsikter (inklusive medlemskap i fackförbund), religiösa eller filosofiska övertygelser, etniskt ursprung eller uppgifter som rör hälsa eller sexualliv.

Förutsättningar för att du skall få spara personuppgifter kan vara att du är rättsligt tvungen till det, eller att ni har ett avtal som gör att uppgifterna skall sparas. Det kan vara ett anställningsavtal, kundavtal eller leverantörsavtal, men samtidigt får du bara spara de uppgifter som behövs för att uppfylla avtalet. Om det inte finns den sortens förutsättningar behöver du få ett ”Samtycke” från personen. Då ber du om lov att få spara uppgifterna och du behöver tydligt informera om vad som samlas in och vad uppgifterna skall användas till.

I enlighet med GDPR skall också uppgiftslämnarna ha möjligheten att få tillbaka de uppgifterna som de lämnat till dig för att kunna föra över dem till en annan tjänst. Detta är den så kallade dataportabiliteten.

Ett nytt krav är att du inte får överföra några personuppgifter till land utanför EU/EES-området eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land enligt den nya förordningen. Du måste alltså säkerställa var din data driftas både fysiskt och juridiskt.

Ett nytt krav är att du som sparar personuppgifter blir skyldig att rapportera om ni råkar ut för en ”personuppgiftsincident”. Det kan vara allt från ett USB-minne som försvunnit till ett intrång i en server. För att följa GDPR måste du kunna visa att du har rutiner för att kunna anmäla incidenter av den typen inom 72 timmar. Datainspektionen håller på att ta fram en e-tjänst för att du skall kunna anmäla incidenter till dem på ett enkelt sätt.

När dina leverantörer behandlar personuppgifter för din räkning måste det enligt lagen finnas ett personuppgiftsbiträdesavtal för leverantören. Leverantören är då personuppgiftsbiträde och din roll är personuppgiftsansvarig. Personuppgiftsbiträdesavtal skall finnas i skriftlig och elektronisk form. Ibland kan det vara nödvändigt för personuppgiftsbiträdet att teckna avtal med andra personuppgiftsbiträden, så kallat underbiträde för tjänstens genomförande. All sådan användning måste godkännas skriftligen av personuppgiftsansvarig.

Avtalet är bindande för biträdet i förhållande till personuppgiftsansvarig och skall beskriva:

– bekräftelse och varaktighet för hanteringen

– typ av personuppgifter

– kategorier av registrerade

– åtagande och rättigheter för personuppgiftsansvarig

För personuppgiftsbiträdet gäller speciellt följande ansvar:

– Endast behandla och överföra data enligt personuppgiftsansvarige instruktioner

– Säkerställa att alla som kommer i kontakt med dessa data respekterar sekretessen

– hantering och dokumentation vid anmälan av personuppgiftsincident

– konsekvensbedömning vid incident

– radera och skicka tillbaka data när avtalet gått ut

Du som har registrerat personuppgifter är skyldig att ha ett register över vem som är ansvarig för registret eller systemet. Om det är flera – vem är ansvarig för de olika systemen. Vad används uppgifterna i systemet till? Vilka typer av personer finns där och vilka typer av uppgifter handlar det om? Registret skall kunna göras tillgängligt för Datainspektionen på begäran.

För att sammanfatta är här en liten punktlista på huvudsaker du behöver följa:

1. Inventera och säkra skyddet för de personuppgifter du redan har samlat in
2. Analysera riskerna. Detta är obligatoriskt. Om höga risker identifieras måste en konsekvensbedömning utformas.
3. Säkerställ att du har varit tillräckligt transparent för de redan insamlade personuppgifterna
4. Se över att dina samtycken är förenliga med GDPR
5. Sätt upp en process för hur du rapporterar personuppgiftsincidenter till Datainspektionen inom 72 timmar
6. Utbilda dina medarbetare i hur ni hanterar personuppgifter i ert företag.

Här finns hela förordningen
Läs mer hos Datainspektionen
2018-03-22T10:04:34+00:00