PUL ut och Dataskyddsförordningen in
De allra flesta företag hanterar personuppgifter, en del bara information om sina egna anställda, men många även om kunder. Så även din organisation, eller hur? I så fall är det läge att vara uppmärksam och börja agera - här kommer en liten hjälp på traven.
Inom EU har alla länder anpassat sitt dataskydd efter det dataskyddsdirektiv som antogs 1998. I Sverige har vi PUL, som beskriver hur personuppgifter ska skyddas i den digitala världen. Men nu kommer det en del ändringar, då EU parlamentet den 14 april 2016 antog en förordning om dataskydd, på engelska kallad General Data protection Regulation.
Förordningen för dataskydd ska träda i kraft och ersätta den svenska personuppgiftslagen våren/sommaren 2018 och då behöver alla som hanterar personuppgifter vara beredda.
Viktiga skillnader mot PUL
Den kanske kraftfullaste förändringen är att brott mot dataskyddsförordningen, till skillnad från PUL, kan leda till höga böter. Särskilt globala företag kan det slå ordentligt mot, då böterna kan uppgå till 4% av den globala omsättningen.
En annan förändring som ofta nämns är rätten att glömmas bort “The right to be forgotten” och för den som designar och programmerar systemen som hanterar personuppgifterna är det viktigt att skyddet ska vara “by design” och säkerheten “by default”.
Vad omfattas av förordningen?
Förordningen omfattar personuppgifter om EU-medborgare oavsett var de befinner sig, även utanför EU. Med personuppgifter menas uppenbara identifierbara personuppgifter som personnummer, e-postadress och namn, men även location data och tex cookies.
Vilka rättigheter betyder dataskyddsförordningen för den registrerade?
Den registrerade har rättigheter som översiktligt betyder att den har rätt till information och vad, varför och av vem data samlas in och hur den ska lagras och hur länge. Den registrerade har också rätt att få uppgifter raderade (“the right to be forgotten"), att få åtkomst till sina egna uppgifter och kunna föra över dem till en annan leverantör samt att kunna rätta felaktig information. Den registrerade har också rätt att motsätta sig och begränsa hanteringen av personuppgifter.
Vilka skyldigheter har den som behandlar personuppgifter?
Skyldigheterna skulle kunna ha överskriften ”Privacy by design - Security by default”. Alla system som hanterar personuppgifter måste ha tekniskt skydd i nivå med känsligheten på datat som lagras. Personuppgifter ska inte kunna förstöras, ändras eller förloras eller läcka ut under lagring eller överföring och det ska finnas en funktion för automatisk gallring av gamalt persondata.
Större organisationer behöver ha ett personuppgiftsombud, som ansvarar för att dataskyddsförordningen efterlevs. Organisationen måste hantera förfrågningar från registrerade inom en månad, den ska göra konsekvensbedömningar kring uppgiftsskyddet innan de behandlar uppgifter som kan innebära stor risk för individens rättigheter.
Slutligen; om de upptäcker integritetsbrott ska tillsynsmyndigheten meddelas inom 72 timmar.
Börja förbereda dig
Du har ungefär 2 år på dig att få kontroll på personuppgifterna och de system som hanterar dem.
För att börja förbereda dig och din organisation behöver du först av allt få upp frågan på ledningsnivå, så att de har förståelse för vad förordningen innebär. Där behöver också en budget läggas för arbetet.
Sedan bör ni inventera era IT system för att ta reda på ni hanterar och lagrar personuppgifter idag.
Systemen och integrationer behöver utvärderas. Det behöver säkerställs att de uppfyller kraven på säkerhet och kraven på att data ska kunna glömmas. Förändringar som behöver göras behöver planeras in.
Förbered er på att kunna tillfredsställa kunders och anställdas rättigheter att känna till datat, kunna ändra den och veta vad det används till.
Fördjupa er mer i vad lagen kommer att innebära. Hur ska du tex hantera backuper, som innehåller persondata som i systemet har raderats eller rättats? Hur hanterar du personuppgifter i molnet? Vet du vad ett personuppgiftsbiträde är?
Känner du dig osäker på vad ni behöver göra för förändringar? Kontakta oss så kan vi berätta mer och kolla på hur just era behov ser ut.