GDPR - General Data Protection Regulation

Den 25 maj 2018 ersätts Personuppgiftslagen och EU:s nuvarande dataskyddsdirektiv av EU:s dataskyddsreform General Data Protection Regulation kallad GDPR.  GDPR träder i kraft i samtliga EU-länder från samma tidpunkt eftersom det är en förordning. Förordningen är en kompromiss och överlämnar mycket till länderna att lagstifta om. 

I Sverige har Dataskyddsutredningen lagt fram ett förslag på den svenska anpassningen av GDPR för att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling på plats när förordningen börjar tillämpas. Den 12 maj 2017 redovisade Dataskyddsutredningen sitt förslag på den svenska anpassningen till GDPR i den föreslagna Dataskyddslagen, som nu är ute på remiss. Synpunkter på lagförslaget ska vara inne senast 1 september.

Srf konsulterna bevakar utvecklingen kring GDPR och utformar utbildningar och checklistor i takt med att Datainspektionen släpper direktiv och vägledning kring GDPR.

Är du förberedd på den nya dataskyddsförordningen?

Använd vårt kostnadsfria nyttiga självtest för att bedöma ditt och företagets utgångsläge och kunskapsnivå kring dagens Personuppgiftslag.  Syftet med testet är hjälpa dig att säkerställa att du har en viss grundkunskap kring PuL. Testresultatets ger dig en bra start när du börjar granska din egen verksamhet utifrån den nu gällande PuL – första steget i anpassningsarbetet mot GDPR!

Med hjälp av självtestet höjer ni också kunskapsnivån och medvetandegraden inom företaget och skapar grund för anpassningsarbetet kring GDPR. Eftersom mycket i GDPR liknar de regler som finns i Personuppgiftslagen (PuL) – blir det viktiga, första steget att kritiskt granska och eventuellt åtgärda hur ditt företag behandlar personuppgifter redan idag.

Om du följer vår kommande utbildningsserie kan du vara säker på att inte missa viktiga punkter i ditt anpassningsarbete. Alla checklistor ingår i våra utbildningar.

Gör självtestet GDPR >>

Lär dig mer om nya GDPR

Till hösten släpps en onlineutbildning om GDPR. Kursen kommer innehålla videoföreläsningar, övningsuppgifter, quiz och FAQ. Kursen ger dig som är Auktoriserad Redovisnings- eller Lönekonsult aktualitetstimmar. Vi planerar även workshops i de större städerna, där vi kommer gå igenom Dataskyddsinspektionens riktlinjer.

Anmäl ditt intresse så skickar vi ut information till dig när det är dags.

Till intresseanmälan >>


Vad är en personuppgift?
En personuppgift är en uppgift som direkt eller indirekt kan identifiera en person. Förutom namn och personnummer kan det till exempel vara en mejladress, en ip-adress, ett bilregistreringsnummer eller ett foto.


Dataskydd

Hanteringen av känsligt data skärps när GDPR medför att Dataskydd blir standard och kravet på att känsliga data alltid ska krypteras. Detta kallas också Privacy by default. Det är även så att den s k Missbruksregeln försvinner, vilket idag innebär att ostrukturerad behandling får utföras så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet.

Vad ingår i ostrukturerat material?
Personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar, e-post och enkla listor.


Dokumenterade rutiner

Syftet med Personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Samma syfte har den nya GDPR med det tillägget att företagen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det innebär att rutiner kring hanteringen inte bara måste dokumenteras, det betyder även en skyldighet att visa att de efterföljs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys.

Vad innebär behandlas? 
Begreppet ”behandlas” är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.


Strängare krav på företagen med GDPR

Mycket har hänt sedan 1995 och Europeiska kommissionen presenterade 2012 ett förslag till nya regler för hantering av personuppgifter. Detta för att modernisera reglerna i dataskyddsdirektivet och få en mer likartad hantering inom hela EU. I april 2016 antogs Dataskyddsförordningen, eller General Data Protection Regulations vilken kommer att ersätta den Personuppgiftslag som finns idag. På samma sätt som dataskyddsdirektivet bearbetades för Sverige, så pågår nu arbetet med få GDPR på svenska. Arbetet ska vara klart så att GDPR börjar gälla 25 maj 2018. GDPR kommer att medföra strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.

Vad blir konsekvensen av att PuL ersätts av GDPR?
Ett utökat, mer uttalat ansvar, risk för sanktioner om reglerna inte efterlevs. Datainspektionen kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag.


Förändrade roller

Ansvaret för hanteringen av personuppgifter har den som är personuppgiftsansvarig, vilket normalt är en juridisk person eller myndighet som bestämmer vilka uppgifter som behandlas/ till vad och vad de ska användas till. Den nya GDPR innebär att positionen personuppgiftsansvarig förändras. Varje företag/myndighet måste ha en dataskyddschef, data protection officer. Personen har större ansvar och fler skyldigheter än tidigare. Att hanteringen av personuppgifterna sker korrekt och lagligt säkerställs av ett personuppgiftsombud. Det är ofta en anställd som är personuppgiftsombud, med en förteckning över register och annan behandling av personuppgifter, och som även hjälper registrerade att få felaktiga uppgifter rättade.

För den som arbetar som personuppgiftsbiträde, dvs hanterar personuppgifter för den personuppgiftsansvariges räkning utanför organisationen kommer det med den nya GDPR bli ett utökat ansvar. Ett personuppgiftsbiträde måste lämna garantier för att GDPR följs, inhämta tillstånd, bistå den personuppgiftsansvarige, föra register över behandling, ha ett eget ansvar för säkerhet och måste anmäla personuppgiftsincidenter till den personuppgiftsansvarige.

 
21
Aug
21 Aug

Moms – periodisk sammanställning – blankett

Du som har sålt varor eller tjänster momsfritt till företag i andra EU-länder ska ha skickat in periodisk sammanställning för juli 2017 till Skatteverket om du använder pappersblanketten.

Läs mer
Gå till kalendariet Lägg till i kalender

Srf Nyheter

Se alla nyheter
Prenumerera