juli 23, 2018
  • facebook
  • twitter
  • linkedin
  • instagram
  • Väntar på att kurserna hämtas..
  • New York
  • London
  • Moscow
  • Tokyo
  • Stockholm
  • Sydney
  • Delhi
  • Bangkok

Redo för GDPR?

EU har beslutat om en ny dataskyddsförordning, GDPR, som börjar gälla den 25 maj 2018. GDPR står för General Data Protection Regulation. Förordningen kommer att ersätta vår nuvarande personuppgiftslag, PUL, och gälla direkt i EU:s alla medlemsländer. Här i Sverige så har vi haft en datalag sedan 1973, vi var också först med att ha en nationell datalag i hela världen.

Den nya förordningen innebär att du som hanterar personuppgifter som namn, personnummer, bilder, e-postadresser eller några uppgifter som visar vem en person är behöver ta reda på vad reglerna i förordningen innebär för dig. Detta gäller även om du har ett kundregister, personal- eller löneregister.  För i förordningen så finns en viktig regel som säger att du inte får spara på personuppgifter längre än du behöver. Ett år efter att kundrelationen har tagit slut så ska man ta bort uppgifter om tidigare leverantörer och kunder om det inte gäller eventuella garantiåtagande från säljarens håll. Sen kan det finnas krav från annan lagstiftning som säger att uppgifterna måste finnas under viss tid, exempelvis när det gäller arkiv- och bokföringsändamål. Sedan måste man även vara noga med att informera personen som ni samlar in uppgifter om vilka uppgifter och varför ni samlar in dem.

Om man missköter sig och inte följer de nya reglerna  så kan datainspektionen besluta att företaget ska betala en administrativ sanktionsavgift, vilket kan vara 4 procent av den globala årsomsättningen eller upp till 20 miljoner euro.

Reglerna i GDPR är ganska lika de tidigare reglerna som finns i PUL men samtidigt innehåller den nya dataskyddsförordningen några viktiga nyheter.

 ”Dataskyddsförordningen innehåller några viktigare nyheter

  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
  • Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
  • Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
  • I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.”

Källa: Datainspektionen

Detta är bara en del av de nya reglerna som den nya dataförordningen innehåller.

Sammanfattningsvis så innebär den nya dataskyddsförordningen att man inte ska samla in mer uppgifter än de man behöver, man ska inte heller spara på uppgifterna längre än man behöver, och kontrollera att ni har rätt att samla in de uppgifter som ni vill ha. Ni måste också informera om att ni kommer att samla in uppgifter, varför ni samlar in uppgifterna och vilka uppgifter det handlar om till berörd person. Om uppgifterna kommer att lämnas vidare så måste även det talas om.

Det är också lämpligt att se över säkerheten för de uppgifter som ni hanterar så att ni inte drabbas av en ”personuppgiftsincident”, om ni drabbas så ska det rapporteras till Datainspektionen. Exempel på personuppgiftsincidenter kan vara intrång i servrar eller att fel person har kommit åt personuppgifter som de inte ska ha tillgång till.

ads
Föregående «
Nästa »

 
 
 
 
 
 
 
 

ads