EUs nya dataskyddsförordning...

...och hur den påverkar hanteringen av personuppgifter.

25 maj 2018 träder en ny EU-förordning som ersätter PuL i kraft. General Data Protection Regulation, GDPR, ska bidra till att stärka integritetsskyddet för enskilda med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter.

Vad innebär det för våra uppdragsgivare? Vi skickade Cathis på utbildning för att ta reda på svaret.

Vad är GDPR?

EU-förordningen General Data Protection Regulation (GDPR) är EUs nya förordning. Den har kommit till eftersom handeln med våra personuppgifter blivit en stor industri.

Som exempel: Google säljer uppgifter om vad vi letar efter till tredje part. Dessa kan sen användas för exempelvis reklam. Säg att vi sökt på Google efter flygbiljetter till Gran Canaria och får sen plötsligt reklam för Aftersun och badkläder på mailen.

Syftet med GDPR är att begränsa hur den här handeln går till samt stärka privatpersonens rättigheter och möjligheter att reglera vem som har tillgång till vilka uppgifter. ”Rätten att bli glömd” dvs att få alla personuppgifter raderade är centralt.

Förordningen innebär att ansvaret hos de som hanterar personuppgifter skärps. Roller som personuppgiftsombud och liknande förtydligas och blir fler.

Samtycke som huvudregel för att få hantera någons personuppgifter kommer att försvinna och istället krävs det behovsgrund. Det kan vara lagstadgad skyldighet att hantera uppgifter eller att uppgifterna behövs för att fullgöra ett avtal.

Vad är personuppgifter, vart hittas de och hur ska de hanteras?

Själva begreppet ges en bred definition: all information som på något sätt i något led kan knytas till en specifik person är en personuppgift.

Personuppgift innebär allt mellan en klassiskt strukturerad information som telefonnummer, adress och namn i ett excel ark till bilder, ljudinspelningar eller citat i löptext.

När ett behov upphör – exempelvis när ett avtal upphört - kanske det inte längre finns en behovsgrund för att hantera de personuppgifter som fanns i avtalet. Det betyder att gallring av personuppgifter kommer att behöva bli mer av en rutin.

Under implementeringsperioden fram till maj 2018 rekommenderar vi att gammal data gås igenom och gallras på personuppgifter som inte längre är aktuella!

Konsekvenser vid missbruk

Efter maj 2018 kommer det ge kännbara konsekvenser att missbruka personuppgifter. PuL har tyvärr varit relativt tandlös, men det är inte GDPR.

GDPR kommer ge bötesbelopp på upp till 4 % av den globala koncernomsättning eller maximalt 20 miljoner Euro. Det gäller för överträdelser av det grövre slaget, där information läckt om exempelvis sexuell läggning eller medicinska tillstånd.

Det är alltså viktigt att ha bra rutiner kring hur personuppgifter skyddas och vad organisationen gör om uppgifter läcker ut!

Personuppgifter i offentlig verksamhet

Just nu pågår en svensk utredning – dataskyddsutredningen – som tittar på bl a hur offentlig sektor påverkas. Relativt mycket kommer att vara som tidigare, men en del förändringar i arbetet krävs. Dataskyddsutredningen lämnar sitt betänkande i maj 2017.

7 tips framåt

  1. Börja med gallringen av gamla uppgifter i tid – baserat på behovsgrund.
  2. Underskatta inte definitionen av personuppgifter.
  3. Skydda er mot dataintrång på alla sätt ni kan! Lösenord på alla enheter.
  4. Säkerställ att de system ni använder är anpassade till förordningen
  5. Skapa rutiner i organisationen för gallring av gamla uppgifter.
  6. Skapa rutiner i organisationen kring vilka typer av uppgifter ni hanterar och hur.
  7. Utgå från att ni har ansvar för att skydda individens rättigheter.

Cathis Undsjö, 28/4/2017