SlideShare une entreprise Scribd logo

Wistrand broschyr Personuppgifter 2.0

E
Erik Ullberg
1  sur  8
Télécharger pour lire hors ligne
PERSONUPPGIFTER 2.0 - NY DATASKYDDSFÖRORDNING INOM EU
I december 2015 träffades en politisk överenskommelse mellan EU:s lagstiftande organ om innehållet i EU:s nya dataskyddsförordning. Ett formellt beslut om antagande av förordningen förväntas komma under våren 2016 som efter en övergångsperiod börjar gälla från våren 2018. Detta befäster EU:s fokus på integritetsfrågor och förordningen innebär kraftigt ökade sanktioner för företag som inte tar reglerna på allvar. Det finns därför all anledning för organisationer att redan nu utvärdera sin personuppgiftshantering och överväga anpassning till den nya dataskyddsförordningen. På följande sidor behandlas centrala delar i förslaget. NY DATASKYDDSFÖRORDNING FRÅN VÅREN 2018 Innehåll i korthet: • Mindre utrymme för nationella avvikelser • Tillämpningsområdet utökas utanför EU • Skärpta krav på personuppgiftsbehandling • Rättigheter för registrerade individer klargörs och utökas • Skyldigheter för personuppgiftsansvariga och biträden • Behov av dataskyddsombud och konsekvensanalyser • Skärpta sanktioner • Vad behöver jag göra?
Mindre utrymme för nationella avvikelser Dataskyddsförordningen kommer att vara direkt tillämplig i EU:s medlemsstater. Utrymmet för nationella avvikelser blir därför mindre. För svensk del innebär detta bland annat att den s.k. missbruksregeln, som tillåter behandling av personuppgifter i ostrukturerad text så länge behandlingen inte är kränkande för behandlade personer kommer att försvinna. Tillämpningsområdet utökas utanför EU Enligt förordningen gäller samma regler för alla företag/organisationer, oavsett om de är etablerade inom eller utanför EU. Detta innebär exempelvis att företag i USA som verkar inom EU måste beakta dataskyddsförordningen om personuppgiftsbehandlingen avser erbjudande av varor eller tjänster till, eller övervakning av, individer inom EU. Den personuppgiftsansvarige behöver också utse en representant inom EU. Skärpta krav på personuppgiftsbehandling I flera hänseenden påminner förordningens krav om de nuvarande reglerna i PUL. På vissa punkter går emellertid de nya reglerna längre eller är mer detaljerade än dagens regler. • Förordningen ställer krav på bättre information om hur registrerade personuppgifter behandlas. Information ska lämnas på ett tydligt sätt med användande av ett klart och tydligt språk. • Kravet på inhämtande av samtycke skärps. En begäran om samtycke i en skriftlig handling ska vara tydligt urskiljbar från det övriga innehållet i exempelvis allmänna villkor eller liknande. • Förordningen slår fast att samtycke från ungdomar under 16 år kräver målsmans godkännande. Åldersgränsen får sänkas till som lägst 13 år om medlemsstaten beslutar detta.
Rättigheter för registrerade individer klargörs och utökas • Den omtalade principen om ”rätten till att bli glömd” kommer till direkt uttryck i förordningen. Principen innebär att en registrerad under vissa omständigheter har rätt att få sina personuppgifter raderade. En personuppgiftsansvarig som mottar en sådan begäran måste utan dröjsmål vidta alla rimliga åtgärder för att tillmötesgå begäran. • Individer ska som utgångpunkt slippa profilering. • En registrerad person får rätt att få sina personuppgifter ”paketerade” och överförda till en annan leverantör (Dataportabilitet). Skyldigheter för personuppgiftsansvariga och biträden Förordningen föreskriver ett krav på ökad proaktivitet från personuppgiftsansvarigas sida. • Personuppgiftsbehandlingen ska dokumenteras och den personuppgiftsansvarige ska kunna styrka efterlevnad av förordningens hanteringsregler. I princip blir det obligatoriskt att upprätta en personuppgiftspolicy. • System för behandling av personuppgifter ska utformas med beaktande av ”privacy-by-design” som innebär att dataskydd ska integreras i tekniken redan från början. • Vid ett dataintrång ska, som utgångspunkt, den personuppgiftsansvarige senast inom 72 timmar från det att intrånget uppdagats underrätta den nationella tillsynsmyndigheten. Dataintrånget ska även kommuniceras till den enskilde om intrånget innebär en hög risk för kränkning av dennes fri- och rättigheter. Personuppgiftsbiträden får ett visst självständigt ansvar gentemot de registrerade. Idag ansvarar biträden som utgångspunkt endast i förhållande till den personuppgiftsansvarige.
Behov av dataskyddsombud och konsekvensanalyser För myndigheter och företag vars kärnverksamhet utgörs av systematisk databehandling i större skala eller som hanterar en större mängd känslig data blir det obligatoriskt att utse ett s.k. ”dataskyddsombud”. Dataskyddsombudet ska bl.a. • underrätta och råda verksamhetens ledning (som är personuppgiftsansvarig) om deras förpliktelser enligt förordningen. • övervaka tillämpningen av organisationens regler för skydd av personuppgifter. Om en viss typ av behandling kan medföra risker för enskildas fri- och rättigheter blir den personuppgiftsansvarige skyldig att genomföra en konsekvensanalys för behandlingen.
Skärpta sanktioner Dataskyddsmyndigheten i den medlemsstat där organisationen huvudsakligen är etablerad kommer att vara huvudansvarig för tillsyn under förordningen. • Exempel på sanktioner är skriftlig varning, återkommande tillsyn av verksamheten, skadestånd samt böter. • Bötesbelopp på upp till 20 000 000 euro eller upp till 4 procent av verksamhetens globala årsomsättning kan bli aktuellt.
Vad behöver jag göra? Innan förordningen träder i kraft behöver organisationen se över sin personuppgiftsbehandling. Personuppgifter kommer att bli en fråga för ledningen men det kommer även krävas att andra delar av organisationen, såsom HR, marknad och IT, involveras och samordnas. Det kan ta tid att få nya rutiner och policies på plats, varför det finns all anledning att redan nu påbörja arbetet med att utvärdera och överväga behovet av anpassning till förslaget. Här följer ett antal viktiga frågor att ta ställning till. • Vilken personuppgiftsbehandling förekommer i verksamheten och med vilket lagstöd sker detta? Behövs det någon anpassning? • Vilka avtal rörande personuppgiftsbehandling finns och behöver dessa anpassas? • Finns det ändamålsenliga rutiner och organisation för att säkerställa att behandling och rapportering av t.ex. dataintrång sker i enlighet med regulatoriska krav? • Finns det riktlinjer eller policies och behöver dessa i så fall uppdateras i enlighet med förordningens krav? • Privacy by design – är system och procedurer anpassade för att säkerställa att kraven på dataskydd uppfylls? • Är personuppgiftsbehandlingen av sådan omfattning att det föreligger skyldighet att utse ett dataskyddsombud? Christel Rockström 08-507 200 45 christel.rockstrom@wistrand.se Erik Ullberg 031-771 21 76 erik.ullberg@wistrand.se KONTAKTPERSON WISTRAND STOCKHOLM KONTAKTPERSON WISTRAND GÖTEBORG
Wistrand broschyr Personuppgifter 2.0

Recommandé

General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Maria Duni
 
Integration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påIntegration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påAcando Sweden
 
Förberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenTHL
 
GDPR - efter den 25 maj
GDPR - efter den 25 majGDPR - efter den 25 maj
GDPR - efter den 25 majJeanette Öhlund
 
IBM Cognos lösning för verksamhetsstyrning
IBM Cognos lösning för verksamhetsstyrningIBM Cognos lösning för verksamhetsstyrning
IBM Cognos lösning för verksamhetsstyrningIBM Sverige
 
Capacitacion pve biologicos
Capacitacion pve biologicosCapacitacion pve biologicos
Capacitacion pve biologicosIvonne Morales
 
Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)Soraya H. Contreras
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 

Recommandé

General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Maria Duni
 
Integration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påIntegration och GDPR det här måste du tänka på
Integration och GDPR det här måste du tänka påAcando Sweden
 
Förberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av klientdataarkivet för socialvården
Förberedande uppgifter för införandet av klientdataarkivet för socialvårdenTHL
 
GDPR - efter den 25 maj
GDPR - efter den 25 majGDPR - efter den 25 maj
GDPR - efter den 25 majJeanette Öhlund
 
IBM Cognos lösning för verksamhetsstyrning
IBM Cognos lösning för verksamhetsstyrningIBM Cognos lösning för verksamhetsstyrning
IBM Cognos lösning för verksamhetsstyrningIBM Sverige
 
Capacitacion pve biologicos
Capacitacion pve biologicosCapacitacion pve biologicos
Capacitacion pve biologicosIvonne Morales
 
Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)Soraya H. Contreras
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det... BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...Solberg Kommunikation AB
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Caperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnetCaperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnet★ Niklas Dahl ★
 
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenAcando Sweden
 
Axel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRAxel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRTriggerbee
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdprJakob Pernvik
 
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenTHL
 
Sammanställning regelförenklingar
Sammanställning regelförenklingarSammanställning regelförenklingar
Sammanställning regelförenklingarCenterpartiet
 
Sekundar använding av social- och hälsouppgifter
Sekundar använding av social- och hälsouppgifterSekundar använding av social- och hälsouppgifter
Sekundar använding av social- och hälsouppgifterSosiaali- ja terveysministeriö / yleiset
 
Juridik + sociala medier = sant
Juridik + sociala medier = santJuridik + sociala medier = sant
Juridik + sociala medier = santE-delegationen
 
Konsumentmakt januari 2018
Konsumentmakt januari 2018Konsumentmakt januari 2018
Konsumentmakt januari 2018Buzzter
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 
Regler & riktlinjer
Regler & riktlinjerRegler & riktlinjer
Regler & riktlinjerGruppB2
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påcloudnine
 
Svensk iab conference110518
Svensk iab conference110518Svensk iab conference110518
Svensk iab conference110518John Wedderburn
 
Integritet E Handel
Integritet E HandelIntegritet E Handel
Integritet E HandelMathias Klang
 
Nyhetsbrev Nr 2 2009
Nyhetsbrev Nr 2 2009Nyhetsbrev Nr 2 2009
Nyhetsbrev Nr 2 2009goransmedberg
 
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...THL
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Lars Blixt
 

Contenu connexe

Similaire à Wistrand broschyr Personuppgifter 2.0

BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det... BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...Solberg Kommunikation AB
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenAcando Sweden
 
Axel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRAxel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRTriggerbee
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdprJakob Pernvik
 
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenTHL
 
Sammanställning regelförenklingar
Sammanställning regelförenklingarSammanställning regelförenklingar
Sammanställning regelförenklingarCenterpartiet
 
Juridik + sociala medier = sant
Juridik + sociala medier = santJuridik + sociala medier = sant
Juridik + sociala medier = santE-delegationen
 
Konsumentmakt januari 2018
Konsumentmakt januari 2018Konsumentmakt januari 2018
Konsumentmakt januari 2018Buzzter
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 
Regler & riktlinjer
Regler & riktlinjerRegler & riktlinjer
Regler & riktlinjerGruppB2
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påcloudnine
 
Svensk iab conference110518
Svensk iab conference110518Svensk iab conference110518
Svensk iab conference110518John Wedderburn
 
Nyhetsbrev Nr 2 2009
Nyhetsbrev Nr 2 2009Nyhetsbrev Nr 2 2009
Nyhetsbrev Nr 2 2009goransmedberg
 
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...THL
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Lars Blixt
 

Similaire à Wistrand broschyr Personuppgifter 2.0 (20)

BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det... BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
BrandInWest/Solberg: Setterwalls - PUL ersätts av nya GDPR – vad betyder det...
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Caperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnetCaperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnet
 
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktiken
 
Axel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPRAxel Tandberg om nya GDPR och EPR
Axel Tandberg om nya GDPR och EPR
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdpr
 
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvårdenFörberedande uppgifter för införandet av Klientdataarkivet för socialvården
Förberedande uppgifter för införandet av Klientdataarkivet för socialvården
 
Sammanställning regelförenklingar
Sammanställning regelförenklingarSammanställning regelförenklingar
Sammanställning regelförenklingar
 
Sekundar använding av social- och hälsouppgifter
Sekundar använding av social- och hälsouppgifterSekundar använding av social- och hälsouppgifter
Sekundar använding av social- och hälsouppgifter
 
Juridik + sociala medier = sant
Juridik + sociala medier = santJuridik + sociala medier = sant
Juridik + sociala medier = sant
 
Konsumentmakt januari 2018
Konsumentmakt januari 2018Konsumentmakt januari 2018
Konsumentmakt januari 2018
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 
Regler & riktlinjer
Regler & riktlinjerRegler & riktlinjer
Regler & riktlinjer
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
 
Svensk iab conference110518
Svensk iab conference110518Svensk iab conference110518
Svensk iab conference110518
 
Integritet E Handel
Integritet E HandelIntegritet E Handel
Integritet E Handel
 
Nyhetsbrev Nr 2 2009
Nyhetsbrev Nr 2 2009Nyhetsbrev Nr 2 2009
Nyhetsbrev Nr 2 2009
 
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...
Förnyande av organisationens verksamhet.Förberedelser för anslutning till Kan...
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23
 

Wistrand broschyr Personuppgifter 2.0

  • 1. PERSONUPPGIFTER 2.0 - NY DATASKYDDSFÖRORDNING INOM EU
  • 2. I december 2015 träffades en politisk överenskommelse mellan EU:s lagstiftande organ om innehållet i EU:s nya dataskyddsförordning. Ett formellt beslut om antagande av förordningen förväntas komma under våren 2016 som efter en övergångsperiod börjar gälla från våren 2018. Detta befäster EU:s fokus på integritetsfrågor och förordningen innebär kraftigt ökade sanktioner för företag som inte tar reglerna på allvar. Det finns därför all anledning för organisationer att redan nu utvärdera sin personuppgiftshantering och överväga anpassning till den nya dataskyddsförordningen. På följande sidor behandlas centrala delar i förslaget. NY DATASKYDDSFÖRORDNING FRÅN VÅREN 2018 Innehåll i korthet: • Mindre utrymme för nationella avvikelser • Tillämpningsområdet utökas utanför EU • Skärpta krav på personuppgiftsbehandling • Rättigheter för registrerade individer klargörs och utökas • Skyldigheter för personuppgiftsansvariga och biträden • Behov av dataskyddsombud och konsekvensanalyser • Skärpta sanktioner • Vad behöver jag göra?
  • 3. Mindre utrymme för nationella avvikelser Dataskyddsförordningen kommer att vara direkt tillämplig i EU:s medlemsstater. Utrymmet för nationella avvikelser blir därför mindre. För svensk del innebär detta bland annat att den s.k. missbruksregeln, som tillåter behandling av personuppgifter i ostrukturerad text så länge behandlingen inte är kränkande för behandlade personer kommer att försvinna. Tillämpningsområdet utökas utanför EU Enligt förordningen gäller samma regler för alla företag/organisationer, oavsett om de är etablerade inom eller utanför EU. Detta innebär exempelvis att företag i USA som verkar inom EU måste beakta dataskyddsförordningen om personuppgiftsbehandlingen avser erbjudande av varor eller tjänster till, eller övervakning av, individer inom EU. Den personuppgiftsansvarige behöver också utse en representant inom EU. Skärpta krav på personuppgiftsbehandling I flera hänseenden påminner förordningens krav om de nuvarande reglerna i PUL. På vissa punkter går emellertid de nya reglerna längre eller är mer detaljerade än dagens regler. • Förordningen ställer krav på bättre information om hur registrerade personuppgifter behandlas. Information ska lämnas på ett tydligt sätt med användande av ett klart och tydligt språk. • Kravet på inhämtande av samtycke skärps. En begäran om samtycke i en skriftlig handling ska vara tydligt urskiljbar från det övriga innehållet i exempelvis allmänna villkor eller liknande. • Förordningen slår fast att samtycke från ungdomar under 16 år kräver målsmans godkännande. Åldersgränsen får sänkas till som lägst 13 år om medlemsstaten beslutar detta.
  • 4. Rättigheter för registrerade individer klargörs och utökas • Den omtalade principen om ”rätten till att bli glömd” kommer till direkt uttryck i förordningen. Principen innebär att en registrerad under vissa omständigheter har rätt att få sina personuppgifter raderade. En personuppgiftsansvarig som mottar en sådan begäran måste utan dröjsmål vidta alla rimliga åtgärder för att tillmötesgå begäran. • Individer ska som utgångpunkt slippa profilering. • En registrerad person får rätt att få sina personuppgifter ”paketerade” och överförda till en annan leverantör (Dataportabilitet). Skyldigheter för personuppgiftsansvariga och biträden Förordningen föreskriver ett krav på ökad proaktivitet från personuppgiftsansvarigas sida. • Personuppgiftsbehandlingen ska dokumenteras och den personuppgiftsansvarige ska kunna styrka efterlevnad av förordningens hanteringsregler. I princip blir det obligatoriskt att upprätta en personuppgiftspolicy. • System för behandling av personuppgifter ska utformas med beaktande av ”privacy-by-design” som innebär att dataskydd ska integreras i tekniken redan från början. • Vid ett dataintrång ska, som utgångspunkt, den personuppgiftsansvarige senast inom 72 timmar från det att intrånget uppdagats underrätta den nationella tillsynsmyndigheten. Dataintrånget ska även kommuniceras till den enskilde om intrånget innebär en hög risk för kränkning av dennes fri- och rättigheter. Personuppgiftsbiträden får ett visst självständigt ansvar gentemot de registrerade. Idag ansvarar biträden som utgångspunkt endast i förhållande till den personuppgiftsansvarige.
  • 5. Behov av dataskyddsombud och konsekvensanalyser För myndigheter och företag vars kärnverksamhet utgörs av systematisk databehandling i större skala eller som hanterar en större mängd känslig data blir det obligatoriskt att utse ett s.k. ”dataskyddsombud”. Dataskyddsombudet ska bl.a. • underrätta och råda verksamhetens ledning (som är personuppgiftsansvarig) om deras förpliktelser enligt förordningen. • övervaka tillämpningen av organisationens regler för skydd av personuppgifter. Om en viss typ av behandling kan medföra risker för enskildas fri- och rättigheter blir den personuppgiftsansvarige skyldig att genomföra en konsekvensanalys för behandlingen.
  • 6. Skärpta sanktioner Dataskyddsmyndigheten i den medlemsstat där organisationen huvudsakligen är etablerad kommer att vara huvudansvarig för tillsyn under förordningen. • Exempel på sanktioner är skriftlig varning, återkommande tillsyn av verksamheten, skadestånd samt böter. • Bötesbelopp på upp till 20 000 000 euro eller upp till 4 procent av verksamhetens globala årsomsättning kan bli aktuellt.
  • 7. Vad behöver jag göra? Innan förordningen träder i kraft behöver organisationen se över sin personuppgiftsbehandling. Personuppgifter kommer att bli en fråga för ledningen men det kommer även krävas att andra delar av organisationen, såsom HR, marknad och IT, involveras och samordnas. Det kan ta tid att få nya rutiner och policies på plats, varför det finns all anledning att redan nu påbörja arbetet med att utvärdera och överväga behovet av anpassning till förslaget. Här följer ett antal viktiga frågor att ta ställning till. • Vilken personuppgiftsbehandling förekommer i verksamheten och med vilket lagstöd sker detta? Behövs det någon anpassning? • Vilka avtal rörande personuppgiftsbehandling finns och behöver dessa anpassas? • Finns det ändamålsenliga rutiner och organisation för att säkerställa att behandling och rapportering av t.ex. dataintrång sker i enlighet med regulatoriska krav? • Finns det riktlinjer eller policies och behöver dessa i så fall uppdateras i enlighet med förordningens krav? • Privacy by design – är system och procedurer anpassade för att säkerställa att kraven på dataskydd uppfylls? • Är personuppgiftsbehandlingen av sådan omfattning att det föreligger skyldighet att utse ett dataskyddsombud? Christel Rockström 08-507 200 45 christel.rockstrom@wistrand.se Erik Ullberg 031-771 21 76 erik.ullberg@wistrand.se KONTAKTPERSON WISTRAND STOCKHOLM KONTAKTPERSON WISTRAND GÖTEBORG