Om du arbetar med persondata så är det hög tid att se över hur du och din organisation hanterar det nu när den nya dataskyddsförordningen ska ersätta PUL. Jag har tidigare skrivit en introduktion som ni kan läsa här: Dataskyddsförordningen
I det här inlägget tänker jag fortsätta ta upp några aspekter som är viktiga att tänka på.
Först en kort repetition. Idag regleras hur vi får hantera register med personuppgifter via PUL - personuppgiftslagen. 25 maj 2018 ersätts PUL med Dataskyddsfördningen. De krav som PUL ställt blir i stort sett kvar, men det tillkommer ytterligare krav. De är bland annat:
- Att ett företag kan bötfällas för brott mot förordningen.
- Dataskyddsförordningen gäller EU-medborgare i hela världen, så det ställer nya krav på hur personuppgifter hanteras internationellt.
- Mer rättigheter för individen att glömmas eller få uppgifter ändrade.
- Myndigheter och företag som hanterar stora mängder personuppgifter eller systematiskt övervakar privatpersoner behöver ha ett personuppgiftsombud.
- Krav på dokumentation och riskanalys och krav på att själv rapportera läckor och integritetsbrott och andra personuppgiftsincidenter.
Några roller att hålla reda på:
- Personuppgiftsansvarig är en juridisk person som behandlar personuppgifter i sin verksamhet. Det är bara i undantagsfall en enskild individ.
- Personuppgiftsbiträde är någon utanför den personuppgiftsansvariga organisationen som hanterar personuppgifter för dess räkning. Det är alltså inte någon inom din organisation som hanterar ert persondata, utan någon juridisk person utanför din organisation.
- Personuppgiftsombud är en person med uppgift att granska hur den personuppgiftsansvariga på företaget sköter sitt ansvar, på ungefär samma sätt som en internrevisor. Denna roll behövs då större eller känsliga mängder persondata hanteras.
Lite andra kluriga frågor:
Om personuppgifterna ska hanteras i molnet, vad gäller då?
Om uppgifterna läggs i en molntjänst behöver den ansvariga ta hänsyn till att det med stor sannolikhet innebär en export av datat utanför EUs gränser. Det verkar ännu inte helt klarlagt hur avtalen med länder utan för EU, bland annat USA, kommer att se ut. Men avtalen kring molntjänster är viktiga och ansvaret att det blir rätt ligger på den personuppgiftsansvariga. Här finns anledning att hålla sig fortsatt uppdaterad och att rådfråga experter inom IT och juridik.
Ett annat exempel på fråga är hur du hanterar backuper.
Självklart tar vi backuper på databaser och på diskar. Men det kommer att innebära att personuppgifter som rättats och tagits bort i det aktiva systemet/registret ändå finns kvar, fast mer svårtillgängligt på äldre backuper. Så länge de bara är på en backup behöver du inte göra något, men om en backup ska tas tillbaka i aktiv drift, då behöver dessa äldre, rättade och borttagna uppgifter kunna rättas och tas bort från backupen. Det kan komma att innebära intrikata problem och är en av många frågor kring processer och tekniska lösningar som behöver tänkas igenom.
Hur designar vi systemen så att de är säkra "by design"?
Här behöver många äldre system ses över och om du ansvarar direkt eller indirekt för ett system som hanterar personuppgifter, så behöver du se till att det finns resurser som kan gå igenom er nuvarande systemdesign och även de integrationer mellan systemen som hanterar personuppgifter. Är det inköpta system kan ni behöva ställa nya krav på leverantören eller köpa en ny version. Är det ett egenutvecklat system, så kan ni behöva designa om delar av er lösning för att leva upp till kraven. Viktiga principer här är att aldrig lagra eller använda mer persondata än vad som absolut är nödvändigt och att inte lagra den längre än nödvändigt. Minimera och rensa! Det kan också vara användbart att pseudonymisera så att uppgifterna inte går att koppla till en enskild person utan ytterligare information som hålls avskild.
Datainspektionen har en bra checklista som tar upp de stora dragen i vad du behöver tänka på.
Den finns här http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/forberedelser-for-personuppgiftsansvariga/
