Förändringar i korthet

Den 25 maj 2018 kommer EU:s nya dataskyddsförordning träda i kraft och gälla som lag i Sverige. Personuppgiftslagen kommer därmed att ersättas med dataskyddsförordningen.

Många bestämmelser som anges i personuppgiftslagen kommer att återfinnas i dataskyddsförordningen, men dataskyddsförordningen innehåller även många nya bestämmelser. Detta kan medföra stora förändringar av en verksamhets hantering av personuppgifter. Dataskyddsförordningen innebär, bland annat, högre krav på hanteringen och dokumentation av personuppgifter, stärkta rättigheter för de registrerade personerna och större ansvar för personuppgiftsansvariga.

Vilken är den största skillnaden mot tidigare (PuL)?

Alla krav i PuL, förutom anmälningsplikten att anmäla till Datainspektionen att man hanterar personuppgifter, finns kvar i den nya förordningen. Dataskyddsförordningen kommer bland annat att innebära:

  • Hos myndigheter och sådana företag som hanterar en stor mängd känsliga personuppgifter eller systematiskt övervakar privatpersoner kommer en ny roll att krävas: dataskyddsombud (”data protection officer”)
  • Krav på omedelbar rapportering av integritetsbrott
  • Nya krav på dokumentation, uppföljning och riskanalyser
  • Krav på att ett högt integritetsskydd byggs in från början i processer och system
  • Ökade rättigheter för de personer som registreras, inklusive rätt att kräva skadestånd
  • Nya villkor för att överföra personuppgifter till länder utanför EU-området
  • Strängare sanktioner för den som inte efterlever förordningen
Sanktioner

Dataskyddsförordningen kommer att vara tillämplig för alla företag och organisationer som på något sätt hanterar personlig information om sina anställda eller sina kunder. Företag och organisationer som inte följer dataskyddsförordningen riskerar att bland annat drabbas av sanktioner. Den 25 maj 2018 behöver alltså ert företag uppfylla kraven i dataskyddsförordningen för att inte riskera skadestånd, föreläggande eller andra sanktioner.

Styrelsen och koncernledningen har ansvar för att bedöma och hantera de risker företaget är utsatt för. Sanktionsrisken är en av de nya riskerna som ledningen måste ha kontroll över. Ledningen ska också utse dataskyddsombud i de fall det krävs.

Krav på förändringar i hanteringen av personuppgifter

Beroende på hur er verksamhet ser ut i dag kan införandet av dataskyddsförordningen medföra krav på förändringar i er hantering av personuppgifter. Det är därför klokt att ni redan nu börjar förbereda er genom att kartlägga och utvärdera er nuvarande verksamhet och fundera över vilka förändringar som behöver vidtas.

Vi har tagit fram en åtgärdsplan i syfte att skapa en god grund för er hantering av personuppgifter och etablera rutiner för att säkerställa att bestämmelserna i dataskyddsförordningen efterföljs.

Dokumentation

Ni behöver dokumentera hur anställdas och privatkunders personuppgifter hanteras. Det innefattar vilken typ av information ni har tillgång till, vilka personer och funktioner som har tillgång till den samt i vilka system och databaser den faktiskt finns. Dokumentationen är även viktig om tillsynsmyndigheten skulle genomföra en granskning, för att kunna visa vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven.

Åtgärdsplan

Förberedande åtgärder

  • Steg 1: inventering av er nuvarande verksamhet
  • Steg 2: medvetenhet om bestämmelserna i dataskyddsförordningen
  • Steg 3: identifiera förbättringsområden

Implementering

  •  Implementering av de områden som behöver åtgärdas

Detta dokument fokuserar främst på det första steget i åtgärdsplanen, dvs. steg 1 av de förberedande åtgärderna. Mer information om övriga steg kommer att skickas till er allt eftersom arbetet fortskrider. Vi kommer att avvakta med att ge er mer information om steg 2, medvetenhet om dataskyddsförordningen, tills senare i vår. Detta eftersom regeringen har tillsatt en utredning som senast den 12 maj 2017 ska redovisa sina förslag om hur den svenska lagstiftningen ska anpassas till dataskyddsförordningen, vilket kan medföra justeringar av bestämmelserna.

Förberedande åtgärder

Steg 1

Som ett första steg i er förberedelse inför den nya dataskyddsförordningen bör den nuvarande verksamheten ses över, kartläggas och utvärderas. Vi rekommenderar att ni tillsätter en arbetsgrupp som utför inventeringen av er nuvarande hantering av personuppgifter. Inventeringen bör dokumenteras utförligt och särskilt ta sikte på er hantering och informationsgivning.

Bland annat bör följande frågor undersökas:

  • Vilka personuppgifter hanteras i er verksamhet?
  • Hanterar ni personuppgifter om barn, dvs. personer under 16 år?
  • Vilken rättslig grund har ni för att hantera personuppgifter (t.ex. samtycke från den aktuella personen)?
  • Hur inhämtas samtycke från den registrerade personen?
  • Hur hanteras personuppgifterna? Vilken dokumentation förs/vilka system har ni för att hantera personuppgifter?
  • Varifrån insamlas personuppgifterna?
  • Hur och när brukar ni radera personuppgifter?
  • Lämnar ni ut personuppgifter? Till vem och hur? Inom och/eller utanför EU-området?
  • Finns gällande policys/rutiner över verksamhetens hantering av personuppgifter?
  • Vilken information lämnas till en registrerad person? Hur lämnas sådan information?
  • Hur agerar ni när en registrerad person kontaktar er angående t.ex. begäran om tillgång till eller radering av sina personuppgifter?
  • Vad har ni för rutiner vid t.ex. dataintrång där kontrollen över personuppgifterna förloras?
  • Hur ser ert nuvarande IT-system ut? Vad har ni för dataskydd?

När inventeringen är dokumenterad och klar bör vi tillsammans gå igenom inventeringen för att utvärdera er nuvarande hantering av personuppgifter.

Eventuella allmänna villkor eller liknande

Efter denna utvärdering bör eventuellt förekommande allmänna villkor eller liknande ses över och bestämmelserna om personuppgiftsbehandling kan behöva uppdateras.

Steg 2

För att kunna anpassa er verksamhet till dataskyddsförordningen är det viktigt att ni är medvetna om och införstådda i dataskyddsförordningens bestämmelser. Detta gäller särskilt för personer som arbetar med personuppgifter eller som har ett särskilt ansvar att kontrollera efterlevnaden av gällande regler och era policys/rutiner.

Den nya dataskyddsförordningen innebär hårdare krav på hanteringen av personuppgifter, t.ex.:

  • Förordningen är teknikneutral och kommer även omfatta hantering av personuppgifter i form av pappersdokument eller lokalt lagrade excelfiler (s.k. ostrukturerad data,v.s. information som inte är sökbar i en databas)
  • Nya krav på dokumentation, informationsgivning, uppföljning och riskanalyser
  • Ökade rättigheter för de personer som registrerar sina personuppgifter
  • Nya villkor för att överföra personuppgifter till länder utanför EU-området
  • Hårdare sanktioner för den som inte följer förordningen

Vi kommer att återkomma med mer information under våren 2017.

Steg 3

När er nuvarande hantering har utvärderats och ni har fått en bättre förståelse för dataskyddsförordningen är det viktigt att identifiera vilka områden som behöver förändras i och med dataskyddsförordningens ikraftträdande.

Vi kommer att återkomma till detta steg efter att steg 1 och 2 har genomförts.

Implementering

När de förberedande åtgärderna är genomförda startar implementeringsfasen. I denna fas ska era system, rutiner och policys relaterade till personuppgifter anpassas till dataskyddsförordningen för att kunna börja tillämpas senast den 25 maj 2018.

 Nedan följer en lista över viktiga begrepp, såsom de är definierade i dataskyddsförordningen, som är bra att kunna.

Behandling

En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddsombud

Enligt förordningen ska både personuppgiftsansvariga och personuppgiftsbiträden utse ett dataskyddsombud om vissa förutsättningar uppfylls, exempelvis om den ansvariges eller biträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning.

Personuppgift

Varje upplysning som avser en identifierad eller identifierbar fysisk person.

Personuppgiftsansvarig

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Personuppgiftsbiträde

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Personuppgiftsincident

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Register

En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Samtycke av den registrerade

Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Tillsynsmyndighet (i Sverige)

Datainspektionen