GDPR - Har du koll på den nya förordningen?
Nästa år kommer dataskyddsförordningen eller GDPR som den också kallas träda i kraft, förordningen kommer ersätta PUL från och med den 25 maj 2018. EU har tagit beslut om att personuppgifter behöver skyddas bättre än de gör i dagsläget, samt att reglerna kring hur personuppgifter hanteras ska vara samma i alla EU:s medlemsländer.
Förordningens grunder
Innan vi går in på vad förändringen innebär behöver ett par saker redas ut, det första är vad en personuppgift är. Svaret är, information om en fysisk person som direkt eller indirekt kan leda till att personen i fråga kan identifieras. Det andra är, vem berörs av denna förordning? Svaret på den frågan är att alla som behandlar personuppgifter måste förhålla sig till dataskyddförordningens principer.
Det krävs samtycke för att lagra personuppgifter, man behöver också kunna motivera varför behovet av att lagra personuppgifterna finns. Uppgifterna måste vara begränsade till ett specifikt och legitimt ändamål, de får alltså inte användas i andra syften än det ursprungliga. Uppgifterna får inte heller lagras längre än nödvändigt i förhållande till ändamålet de är avsedda för. De personuppgifter som lagras ska finnas i strukturella databaser och får inte sparas som ostrukturerat material, det vill säga i fritextfält.
Det är enbart de som arbetar med personuppgifterna som får ha tillgång till dem. Uppgifterna ska behandlas på ett säkert vis och skyddas från obehöriga. Samtliga som är berättigade att hantera personuppgifter ansvarar för att dessa principer efterlevs. Enskilda individer har rätt att få tillgång till den information som finns lagrad om dem, de har även rätt att få informationen borttagen.
Överträdelser och avvikelser
Syftet med GDPR är att stärka individens rättigheter. Bryter man mot förordningen har datainspektionen rätt att utdöma en sanktionsavgift. Avgiften bedöms utifrån vilka åtgärder som vidtagits för att minimera skadan, om överträdelsen inneburit ekonomisk vinst och givetvis hur allvarlig överträdelsen är. Hänsyn tas även till om överträdelsen varit avsiktligt eller inte.
Skulle en säkerhetsincident eller en oavsiktlig förlust av uppgifter inträffa har man som innehavare av personuppgifter vissa skyldigheter. Händelsen måste bland annat anmälas till datainspektionen inom 72 timmar, i vissa fall är det även nödvändigt att informera de personer som berörs av det som inträffat.
Förbered er redan nu
Förordningen har inte börjat gälla än, men det kan vara bra att se över vilka åtgärder som kan tas redan nu. Det kan till exempel vara en bra idé att kartlägga de system som lagrar personuppgifter. Ett annat förslag är att börja se över rutinerna för hur personuppgifter sparas, samt vilka som ska ha tillgång till uppgifterna. Ett år går snabbt, så ytterligare en idé är att skapa uppdaterade avtal som innehåller information om hur personuppgifter lagras. Slutligen bör man utse ett dataskyddsombud som ansvarar för att behandlingen av känsliga uppgifter följs i enighet med GDPR.