EU:s dataskyddsreform – GDPR

1995 fattades beslut om ett EU-direktiv, det så kallade dataskyddsdirektivet. Efter svensk bearbetning infördes Personuppgiftslagen (PuL) i Sverige 1998 och är regler för hur personuppgifter får hanteras. EU:s dataskyddsreform, General Data Protection Regulation (GDPR) ersätter den 25 maj 2018 den nu gällande Personuppgiftslagen, i samtliga EU-länder samtidigt.

Här kan du lyssna till Jonas Edström, expert på personuppgiftsbehandling, som intervjuas av Srf konsulternas branschansvarig lön, Zennie Sjölund.

Vad är en personuppgift?
En personuppgift är en uppgift som direkt eller indirekt kan identifiera en person. Förutom namn och personnummer kan det till exempel vara en mejladress, en ip-adress, ett bilregistreringsnummer eller ett foto.


Dataskydd

Hanteringen av känsligt data skärps när GDPR medför att Dataskydd blir standard och kravet på att känsliga data alltid ska krypteras. Detta kallas också Privacy by default. Det är även så att den s k Missbruksregeln försvinner, vilket idag innebär att ostrukturerad behandling får utföras så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet.

Vad ingår i ostrukturerat material?
Personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar, e-post och enkla listor.


Dokumenterade rutiner

Syftet med Personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Samma syfte har den nya GDPR med det tillägget att företagen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det innebär att rutiner kring hanteringen inte bara måste dokumenteras, det betyder även en skyldighet att visa att de efterföljs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys.

Vad innebär behandlas? 
Begreppet ”behandlas” är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.


Strängare krav på företagen

Mycket har hänt sedan 1995 och Europeiska kommissionen presenterade 2012 ett förslag till nya regler för hantering av personuppgifter. Detta för att modernisera reglerna i dataskyddsdirektivet och få en mer likartad hantering inom hela EU. I april 2016 antogs Dataskyddsförordningen, eller General Data Protection Regulations vilken kommer att ersätta den Personuppgiftslag som finns idag. På samma sätt som dataskyddsdirektivet bearbetades för Sverige, så pågår nu arbetet med få GDPR på svenska. Arbetet ska vara klart så att GDPR börjar gälla 25 maj 2018. GDPR kommer att medföra strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.

Vad blir konsekvensen av att PuL ersätts av GDPR?
Ett utökat, mer uttalat ansvar, risk för sanktioner om reglerna inte efterlevs. Datainspektionen kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag.


Förändrade roller

Ansvaret för hanteringen av personuppgifter har den som är personuppgiftsansvarig, vilket normalt är en juridisk person eller myndighet som bestämmer vilka uppgifter som behandlas/ till vad och vad de ska användas till. Den nya GDPR innebär att positionen personuppgiftsansvarig förändras. Varje företag/myndighet måste ha en dataskyddschef, data protection officer. Personen har större ansvar och fler skyldigheter än tidigare. Att hanteringen av personuppgifterna sker korrekt och lagligt säkerställs av ett personuppgiftsombud. Det är ofta en anställd som är personuppgiftsombud, med en förteckning över register och annan behandling av personuppgifter, och som även hjälper registrerade att få felaktiga uppgifter rättade.

För den som arbetar som personuppgiftsbiträde, dvs hanterar personuppgifter för den personuppgiftsansvariges räkning utanför organisationen kommer det med den nya GDPR bli ett utökat ansvar. Ett personuppgiftsbiträde måste lämna garantier för att GDPR följs, inhämta tillstånd, bistå den personuppgiftsansvarige, föra register över behandling, ha ett eget ansvar för säkerhet och måste anmäla personuppgiftsincidenter till den personuppgiftsansvarige.


Datainspektionen är den myndighet som ansvarar för såväl Personuppgiftslagen som nya GDPR. Här hittar du bra information från Datainspektionen:

Läs mer om förberedelse övergång till GDPR

Läs mer om Integritetsanalys

 

 
26
Apr
26 Apr

Omsättning över 40 miljoner kr

Om ditt företag har en omsättning på över 40 miljoner kr ska – moms för mars 2017 vara bokförd på Skatteverkets konto – moms- och arbetsgivardeklarationer för mars 2017 ha kommit in till Skatteverket.

Läs mer
Gå till kalendariet Lägg till i kalender

Srf Nyheter

Se alla nyheter
Prenumerera