Checklista GDPR nya dataskyddsförordningen
EU:s nya dataskyddsförordning reglerar hur personuppgifter får behandlas och ställer höga krav på alla aktörer på marknaden.
GDPR-reglerna är en förordning vilket innebär att alla länder inom EU kommer att ha samma regler. Förordningen ersätter nuvarande regler, i Sverige Personuppgiftslagen (PUL) och ställer högre krav på företag och organisationer att systematiskt arbeta med dataskyddsfrågor.
Rätten till sina egna personuppgifter stärks
Reglerna innebär bland annat att enskilda personers rätt att själv bestämma över sina personuppgifter stärks. Exempelvis genom att lämna samtycke till att få information. För företag som behandlar personuppgifter höjs kraven väsentligt, bland annat hur personuppgifter får användas, vilken information som ska lämnas och vilka konsekvensanalyser som ska göras.
Om reglerna inte följs finns risk för höga sanktionsavgifter som vid allvarliga brister i dataskydd kan uppgå till fyra procent av företagets globala omsättning.
Här är en checklista över hur du kan gå tillväga och vad du bör tänka på när man inventerar sin verksamhet. Notera att listan inte är uttömmande och ytterligare åtgärder kan komma att behövas.
1. Börja med att gå igenom hela verksamheten och kartlägg vilka behandlingar av personuppgifter som görs och varför
Ett förslag är att göra en förteckning i enlighet med artikel 30 i dataskyddsförordningen.
Tänk igenom:
Vilka personuppgifter har vi tillgång till? Hur? Vilka är kategorierna av registrerade individer och kategorierna av personuppgifter?
Behandlas särskilda kategorier av personuppgifter (tidigare känsliga uppgifter) enligt artikel 9 i dataskyddsförordningen?
Vilka behandlingar gör vi och för vilka ändamål?
Vilken legal grund har vi för respektive behandling? En uttömmande uppräkning av de legala grunderna finns i artikel 6 i dataskyddsförordningen.
Har vi använt oss av den svenska missbruksregeln avseende t ex personuppgifter i e-post och liknande? Hur ska vi hantera dess uppgifter och hur hanterar vi dem framöver?
Vilka källor har vi för personuppgifter (t ex samlar in, köper, delar)? Har vi lämnat ut personuppgifter till någon annan aktör? I så fall vilka?
Hur har vi informerat om hur vi behandlar personuppgifter?
Vilka gallringsrutiner har vi?
Hur ser vi till att säkerhetskraven avseende organisation och teknisk säkerhet är uppfyllda?
För vi över personuppgifter till tredje land? Tänk på att om molntjänster används kan själva molnet befinna sig i ett land utanför EU vilket räknas som överföring till tredje land.
2. Inventera hur personuppgifter avseende anställda hanteras
Anställningsavtal
Rekryteringsunderlag
Utvärderingar och analyser
3. Utvärdera vilka åtgärder som behöver vidtas för att uppfylla kraven i dataskyddsförordningen
Samtycken, ändamålsbeskrivningar och informationslämning
Rutiner för gallring
Rutiner för registerutdrag och portering av uppgifter
Rätten att bli bortglömd
Organisatoriska och tekniska strukturer/privacy by design, t ex policies, rutiner och teknisk säkerhet
Rutin för att göra konsekvensanalyser
Rutin för anmälan till Datainspektionen vid personuppgiftsbrott
Rutin för löpande utvärderingsarbete
Utbildning av personal
4. Undersök om det finns en skyldighet att tillsätta en Data Protection Officer
________________________________
Frågor och svar
Vad handlar den nya dataskyddsförordningen om?
EU:s nya dataskyddsförordning bestämmer hur man får använda personuppgifter. Den ersätter vår PUL, Personuppgiftslagen, och ställer höga krav på personlig integritet och information till den vars personuppgifter man behandlar.
Det är viktigt att alla företag och organisationer går igenom sin verksamhet och ser till så att man uppfyller kraven i Dataskyddsförordningen. Om man bryter mot reglerna är det mycket höga sanktionsavgifter föreskrivna, upp till 20 miljoner Euro eller 4 % av den globala årsomsättningen.
När träder den ikraft?
Förordningen har redan trätt ikraft, den 25 maj 2016. Bestämmelserna i förordningen ska dock vara helt genomförda först efter två år, d v s den 25 maj 2018.
Vad behöver man göra för att anpassa sin verksamhet till dataskyddsförordningen?
Man måste gå igenom hela sin verksamhet för att kontrollera att man uppfyller de krav som ställs i förordningen. Det handlar om hur man samlar in personuppgifter, vilken typ av uppgifter, hur man behandlar dem, hur man informerar och mycket mer. Det är mycket omfattande krav som ställs och det rekommenderas verkligen att man sätter igång med kartläggningsarbetet så snart som möjligt.
En särskild svårighet för svenska företag är att vi i vår PUL har haft ett undantag för s k ostrukturerat material, t ex personuppgifter i e-post och liknande. Det undantaget är borta nu och det är därför extra viktigt att man går igenom hur personuppgifter i e-post hanteras och vilken rättslig grund man har för den behandlingen.
Vad menas med personuppgifter?
Med personuppgifter menas alla upplysningar som kan hänföras till en identifierbar fysisk person. Som exempel kan nämnas namn, bild, personnummer, ip-adress, geodata och nätidentifierare. Definitionen av en personuppgift finns i förordningens artikel 4.
Vad menas med behandling av personuppgifter?
Med behandling av personuppgifter menas varje åtgärd som vidtas med personuppgifter, oberoende om den är automatiserad eller inte. Som exempel kan nämnas insamling, registrering, strukturering, bearbetning, lagring, radering etc. Definitionen av behandling finns i förordningens artikel 4.
Gäller samma sak för alla olika sorters personuppgifter?
Nej, vissa uppgifter ses som särskilt skyddsvärda och ett starkare integritetsskydd gäller. Som exempel kan nämnas uppgifter om hälsa, sexuell läggning, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Bestämmelserna om den här typen av uppgifter finns i förordningens artikel 9.
Vilken information måste jag lämna till personer när jag samlar in personuppgifter?
När man samlar in uppgifter om fysiska personer finns det långtgående krav på vilken information som ska lämnas till den fysiska personen. Det är viktigt att informationen lämnas i rätt tid, att den är komplett och begriplig. Bestämmelser om vilken information som ska lämnas finns i artikel 12-14 i förordningen.
Individen har också rätt att få ut ett registerutdrag, d v s information om vilka personuppgifter som man behandlar. Bestämmelser om detta finns i artikel 15.
När och hur får jag behandla personuppgifter?
Bestämmelserna om när behandling av personuppgifter är laglig finns i artikel 6. De överensstämmer i princip med vad som gäller enligt PUL, d v s exempelvis om det finns ett samtycke, om behandlingen är nödvändig för att fullgöra ett avtal eller rättslig förpliktelse eller efter en intresseavvägning.
Vad är profilering?
Profilering definieras i artikel 4 som ” varje form av automatisk behandling av personuppgifter som består i att dessa uppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.”
I korthet kan sägas att det avser analysering och segmentering av personuppgifter för att utläsa mönster och förutsäga beteenden.
Profilering ses som behandlingar som kan utgöra en integritetsrisk och särskilda bestämmelser finns i artikel 21 och 22 i förordningen.
Kan personer kräva att jag tar bort deras personuppgifter som jag har?
Ja, man har rätt att kräva att personuppgifter raderas, t ex om de inte längre är nödvändiga för de ändamål för vilka de har samlats in. Man har ju också alltid rätt att återkalla sitt samtycke till en behandling. Bestämmelser om detta finns i artikel 16-19.
Behöver jag överföra någons personuppgifter till ett annat företag om personen ber mig om det?
Ja, i artikel 20 i förordningen finns en bestämmelse om rätt till dataportabilitet. Enligt den har en person rätt att begära att de personuppgifter som denne har lämnat till företaget överförs elektroniskt till ett annat företag. Det här gäller uppgifter som personen själv har tillhandahållit.
Behöver jag göra en konsekvensanalys innan jag börjar en behandling av personuppgifter?
Man är skyldig att göra en konsekvensanalys innan en behandling av personuppgifter påbörjas om det är sannolikt att den leder till en hög risk för personers integritet kränks. Som exempel nämns systematisk och omfattande bedömning av fysiska personers aspekter, inklusive profilering. Bestämmelser om konsekvensanalys finns i artikel 35.
Vad är ett dataskyddsombud?
Ett dataskyddombud är en person som bl a har till uppgift att informera och ge råd till den hela verksamheten om dataskyddsförordningens bestämmelser, övervaka efterlevnaden av förordningen och att fungera som kontaktpunkt för tillsynsmyndigheten (artikel 39).
Dataskyddsombudet ska ha expertkunnande om lagstiftning och praxis, tillhandahållas de resurser som krävs och får inte ta emot instruktioner om hur uppdraget ska utföras. Ombudet kan vara anställd eller konsult och får ha andra arbetsuppgifter så länge det inte föreligger någon intressekonflikt (artikel 38).
Man är enligt artikel 37 skyldig att utse ett dataskyddsombud om
Man är en myndighet
Ens kärnverksamhet som består av behandling som pga sin karaktär, omfattning och/eller ändamål kräver regelbunden och systematisk övervakning av enskilda i stor skala
Man behandlar känsliga uppgifter i stor skala
Vad behöver jag göra vid en personuppgiftsincident?
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 4). Som exempel kan nämnas om någon obehörig får tillgång till servrar eller data lagrad i en molntjänst eller en borttappad laptop eller smart telefon där informationen inte ligger krypterad.
Vid en personuppgiftsincident har man som personuppgiftsansvarig en skyldighet att inom 72 timmar anmäla detta till Datainspektionen. Undantag görs om det är osannolikt att det föreligger en risk för kränkning av den personliga integriteten. Bestämmelsen finns i artikel 33.
Vad händer som jag inte följer dataskyddsförordningen?
Det är väldigt avskräckande sanktioner för om man bryter mot förordningens bestämmelser. I artikel 83 föreskrivs att de nationella dataskyddsmyndigheterna, i Sverige Datainspektionen, ska döma ut administrativa avgifter vid överträdelser av förordningen. Avgifterna är indelade i två nivåer.
Den första nivån är en avgift på upp till 10 miljoner euro eller 2 % av global årsomsättning. Den är aktuell t ex om man inte trots skyldighet inte har utsett ett uppgiftsskyddsombud (DPO), upprättat en registerförteckning eller gjort en konsekvensbedömning.
Den andra nivån är upp till 20 miljoner euro eller 4 % av global årsomsättning. Den är aktuell t ex om man behandlar personuppgifter fast det inte är tillåtet, om man inte lämnar den information som krävs eller om man bryter mot profileringsbestämmelserna.
Den enskilda personen kan också begära skadestånd för brott mot förordningen.
Var kan jag som medlem i Svensk Handel få hjälp med frågor om dataskyddsförordningen?
Svensk Handel håller informationsträffar för medlemmar och lämnar kortare generell rådgivning kostnadsfritt. För enskild rådgivning hänvisas till Svensk Handel Juridik där medlemmar har en rabatterad timtaxa.
- Ämnen:
- digitalisering, dataskydd
- Publicerad:
- 2016-06-29
- Senast uppdaterad:
- 2024-11-06