Dataskyddsförordningen inom EU nu antagen– Vad innebär detta för hur man ska hantera personuppgifter?
Vad handlar detta om?
EU (kommissionen, Europaparlamentet och Europeiska unionens råd) enades den 15 december 2015 om ett förslag till en ny EU-förordning (GDPR) som syftar till att modernisera dataskyddsdirektiv från 1995 till en mer enhetlig tillämpning inom EU, och förordningen är nu antagen [1]. I överenskommelsen ingick även ett direktiv som reglerar hur polis och annan brottsbekämpande myndighet får hantera personuppgifter. Dataskyddsförordningen [2] är alltså en EU-förordning som gäller som svensk lag och kommer att ersätta den svenska personuppgiftslagen. Lagen som personuppgiftsansvariga och andra måste följa kommer istället rymmas inom EU-förordningen, som träder i kraft 2018.
Varför ändras lagen?
Lagstiftningen ser idag olika ut i olika länder, och vi i Sverige har personuppgiftslagen PUL. Ändringen av lagstiftningen innebär att skyddet stärks för enskilda individer, då de får större kontroll av sina personuppgifter. Dessutom underlättar gemensam lagstiftning för företag som verkar i flera länder eftersom de då bara behöver förhålla sig till ett regelverk, när det gäller exempelvis lagring av kunddata.
Vilka anpassningar av Dataskyddsförordningen kommer att göras på nationell nivå?
Vissa nationella anpassningar kommer att ske som exempelvis rätten att överklaga tillsynsmyndighet, egna krav och undantag i vissa frågor. Regeringen har tillsatt en utredning för att undersöka hur den centrala svenska lagstiftningen bäst anpassas till den nya förordningen [3]. Exempelvis ska utredningen analysera för och nackdelar med att justera åldersgränsen för barn (16 år enligt Dataskyddsförordningen) att inlämna samtycke till att deras personuppgifter behandlas av sociala nätverk. Anpassningen syftar till en balans mellan skyddet av den personliga integriteten och näringslivets och myndigheters behov att kunna behandla personuppgifter.
Vilka övergripande förändringar innebär detta för behandlingen av personuppgifter?
- Tydligare och fler definitioner av begrepp som omfattar samtycke, genetiska uppgifter, biometriska uppgifter
- Tydligare rättigheter för individen, exempelvis rätten att bli glömd, dvs att begära radering av personuppgifter, och att få ta del av dem
- Tydligare ansvar för de som behandlar personuppgifterna, exempelvis konsekvensanalys, dataskyddsgarantier, samt rapporteringsskyldighet till tillsynsmyndighet.
- Undantaget i PUL vid automatiserad behandling av ostrukturerade personuppgifter försvinner.
- Förändringar i rollen som personuppgiftsbiträde och utökade krav på vad personuppgiftsbiträdesavtal ska innehålla.
- Regler för att förbättra samarbete mellan personuppgiftsansvariga inom EU.
Vad innebär lagen för företag som arbetar med kunddata, och vilka konkreta åtgärder kan göras redan nu?
Kraven blir hårdare, och mer ansvar läggs på företag och myndigheter. Om företag bryter mot reglerna kommer det få kännbara ekonomiska konsekvenser, upp till 20 Miljoner Euro (eller 4 % av företagets globala omsättning, samt skadestånd till drabbade. Resultatet av tuffare konsekvenser för företag är således fler rättsliga processer och överklaganden. Dessutom kommer det finnas rapporteringsskyldighet om dataläckor. Även om 2018 kan kännas långt borta är det hög tid att förbereda sig organisatoriskt, exempelvis genom att utgå ifrån den checklista som tagits fram av Datainspektionen [4]. Exempel på förberedelse omfattar att :
- Se över på vilket sätt man träffas av den nya regleringen och vilka förändringar i arbetssätt, samt tekniska och organisatoriska åtgärder, som är nödvändiga för att uppnå efterlevnad.
- Förtydliga rutiner för hur och när man gallrar kunddata.
- Se över processer, roller och ansvar vid hantering av incidenter som omfattar integritetsbrott, för att säkerställa att beredskap för inrapportering till tillsynsmyndighet finns.
- Se över rättsliga grunder för insamling och hantering
- Personuppgiftsbiträden behöver se över rutiner för dokumentation och rapportering, eftersom kartläggning av alla personuppgifter som behandlas nu även inkluderar ostrukturerade uppgifter.
- Undersök om IT-system har säkerhetsmekanismer, ”privacy by design” som uttryckligen regleras i den nya lagstiftningen, för att säkerställa att enbart nödvändiga uppgifter behandlas. Detta omfattar befintliga men även de som planeras köpas in samt de som outsourcing partners levererar.
- Kontrollera att inlämnade samtycken är erforderligt tydliga eller om nya behöver utformas och insamlas.
[1] http://europa.eu/rapid/press-release_IP-15-6321_sv.htm
[2] http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CONSIL:ST_5419_20…
[3] http://www.regeringen.se/pressmeddelanden/2016/02/eus-nya-dataskyddsforo…
[4] http://www.datainspektionen.se/Documents/vagledning-forberedelser-pua.pdf