Dataskyddsförordningen antagen

Den nya Dataskyddsförordningen är nu antagen. Den nya förordningen kommer att träda i kraft i maj 2018, men redan nu bör företag och myndigheter se över sina rutiner och datasystem för hanteringen av personuppgifter.

Lagstiftningsprocessen med Dataskyddsförordningen, har pågått sedan 2012, då Kommissionen lade fram förslaget till förordningen, vilket vi har skrivit tidigare om i Frankly, se här och här. Efter flera förseningar har förordningen nu blivit verklighet sedan Rådet och Parlamentet godkänt den slutgiltiga versionen i april i år. Förordningen publicerades i EU:s officiella tidning den 4 maj och kommer att träda i kraft den 25 maj 2018.

Förordningen kommer att gälla direkt som lag i EU och kommer i Sverige att ersätta den nuvarande Personuppgiftslagen.

Den förordning som antagits har mötts av viss kritik för att inte fullt ut förverkliga de ursprungliga ambitionerna för skydd av enskildas personuppgifter. Det står emellertid klart att förordningen medför ett flertal nyheter och skärpta krav som företag och myndigheter behöver förbereda sig inför. Vid överträdelser av förordningen riskerar organisationen sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av sin globala omsättning.

Vilka åtgärder bör vidtas redan idag?

Hantering av personuppgifter. Identifiera vilka personuppgifter som hanteras, på vilken rättslig grund de hanteras, hur de samlas in och till vem uppgifterna lämnas ut. Förordningen ställer nya krav i samtliga dessa avseenden, vilket bland annat innefattar krav på att informera om den rättsliga grunden för hanteringen redan när uppgifterna samlas in.

Dataskyddsombud. En nyhet är att det krävs att den som behandlar känsliga personuppgifter utser ett dataskyddsombud. Man bör redan nu överväga om ett dataskyddsombud måste utses och i så fall se till att denne får den utbildning och kunskap om dataskyddsregleringen som krävs.

Integritetsrisker/rutiner vid incidenter. Dataskyddsförordningen ställer nya krav på att företaget måste se över sina integritetsrisker och aktivt vidta åtgärder vid dataintrång. Sådana åtgärder inkluderar att dokumentera och anmäla incidenter till såväl den enskilde som Datainspektionen. För att kunna efterleva dessa krav måste organisationen ha tydliga rutiner för att upptäcka och rapportera personuppgiftsincidenter.

Bygga in dataskydd i nya/befintliga datasystem. Enligt förordningen får företag inte samla in mer information än vad som är nödvändigt, inte ha kvar informationen längre än nödvändigt och inte använda uppgifter till något annat än vad som var syftet när de samlades in. Dessutom kommer enskilda ha relativt långtgående rättigheter att på begäran få sina datauppgifter raderade, skickade till sig eller flyttade till andra företag. För att spara tid och resurser på manuell hantering kan organisationer anpassa och bygga in dataskydd i systemen (s.k. privacy by design) för att uppfylla förordningens krav. Sådana åtgärder kan bestå av t.ex. möjlighet att lätt särskilja och redigera uppgifter, samt anonymisering eller dataminimering.

Tillbaka till Frankly #9

Prenumerera på Frankly

Frankly ges ut en gång i månaden till dig som vill veta mer om vad som händer på Frank
och innehåller även artiklar om regler och lagar.

Vi använder cookies på denna webbplats för att ge dig en bättre upplevelse. En cookie är en textfil som sparas på din dator. Genom att använda vår webbplats accepterar du att cookies används. Läs mer om cookies här. Jag förstår