GDPR - nya dataskyddsförordningen

Den 25 maj 2018 ersätts Personuppgiftslagen och EU:s nuvarande dataskyddsdirektiv av EU:s dataskyddsförordning GDPR – General Data Protection Regulation.  GDPR träder i kraft i samtliga EU-länder från samma tidpunkt eftersom det är en förordning. Förordningen är en kompromiss och överlämnar mycket till länderna att lagstifta om. 

I Sverige har Dataskyddsutredningen lagt fram ett förslag på den svenska anpassningen av GDPR för att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling på plats när förordningen börjar tillämpas. Den 12 maj 2017 redovisade Dataskyddsutredningen sitt förslag på den svenska anpassningen till GDPR i den föreslagna Dataskyddslagen, som nu är ute på remiss. Synpunkter på lagförslaget ska vara inne senast 1 september.

Srf konsulterna bevakar utvecklingen kring GDPR och utformar utbildningar och checklistor i takt med att Datainspektionen släpper direktiv och vägledning kring GDPR.

Är du förberedd på GDPR?

Som yrkesverksam i redovisnings- och lönebranschen måste du ha koll på och uppfylla de nya kraven för att undvika böter. Vår branschanpassade utbildningsserie i tre steg är anpassad för dig som jobbar med ekonomi, redovisning och lön.

Steg 1 – testa dina kunskaper

I vårt digitala självtest kan du enkelt få en bild av hur du idag hanterar personuppgifter. Syftet med självtestet är att hjälpa dig att säkerställa att du har en viss grundkunskap kring PUL och hjälpa dig att granska din egen verksamhet utifrån den nu gällande Personuppgiftslagstiftningen. Testet är så klart kostnadsfritt.

Gör självtestet GDPR >>

Steg 2 – GDPR onlinekurs

Med den här kursen kommer du att få en grundläggande genomgång kring de nya regler som kommer att gälla, vad som skiljer sig från PUL och resonemangen bakom reglerna. Vi tittar bland annat på vem som har ansvar, vad som är tillåtet och de utökade kraven på dokumentation. Kursen vänder sig främst till dig som jobbar med löner, redovisning, ekonomi och praktiska HR-frågor i ditt dagliga arbete och därmed hanterar personuppgifter av olika slag.

• Lärare Jonas Edström
• Medlemspris 1 595 kr (ordinarie pris 1 795 kr)

Läs mer om kursen och boka >>

Steg 3 – GDPR workshop

Lärarledda workshops där du får en fördjupning kring detaljfrågorna och möjlighet att ta med dina egna frågor, diskutera med lärare och andra kursdeltagare. Vi tittar på hur GDPR påverkar dig som arbetar med ekonomi, redovisning och lön i din yrkesroll rent praktiskt och hur du ska kunna tillämpa lagens krav din verksamhet.

• Ort och datum Göteborg 8 november, Stockholm 15 november, Malmö 22 november
• Lärare Jonas Edström
• Medlemspris 2 900 kr (ordinarie pris 3 400 kr)

Läs mer om workshopen och boka >>

 


Vad är en personuppgift?
En personuppgift är en uppgift som direkt eller indirekt kan identifiera en person. Förutom namn och personnummer kan det till exempel vara en mejladress, en ip-adress, ett bilregistreringsnummer eller ett foto.


Dataskydd

Hanteringen av känsligt data skärps när GDPR medför att Dataskydd blir standard och kravet på att känsliga data alltid ska krypteras. Detta kallas också Privacy by default. Det är även så att den s k Missbruksregeln försvinner, vilket idag innebär att ostrukturerad behandling får utföras så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet.

Vad ingår i ostrukturerat material?
Personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar, e-post och enkla listor.


Dokumenterade rutiner

Syftet med Personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Samma syfte har den nya GDPR med det tillägget att företagen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det innebär att rutiner kring hanteringen inte bara måste dokumenteras, det betyder även en skyldighet att visa att de efterföljs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys.

Vad innebär behandlas? 
Begreppet ”behandlas” är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.


Strängare krav på företagen med GDPR

Mycket har hänt sedan 1995 och Europeiska kommissionen presenterade 2012 ett förslag till nya regler för hantering av personuppgifter. Detta för att modernisera reglerna i dataskyddsdirektivet och få en mer likartad hantering inom hela EU. I april 2016 antogs Dataskyddsförordningen, eller General Data Protection Regulations vilken kommer att ersätta den Personuppgiftslag som finns idag. På samma sätt som dataskyddsdirektivet bearbetades för Sverige, så pågår nu arbetet med få GDPR på svenska. Arbetet ska vara klart så att GDPR börjar gälla 25 maj 2018. GDPR kommer att medföra strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.

Vad blir konsekvensen av att PuL ersätts av GDPR?
Ett utökat, mer uttalat ansvar, risk för sanktioner om reglerna inte efterlevs. Datainspektionen kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag.


Förändrade roller

Ansvaret för hanteringen av personuppgifter har den som är personuppgiftsansvarig, vilket normalt är en juridisk person eller myndighet som bestämmer vilka uppgifter som behandlas/ till vad och vad de ska användas till. Den nya GDPR innebär att positionen personuppgiftsansvarig förändras. Varje företag/myndighet måste ha en dataskyddschef, data protection officer. Personen har större ansvar och fler skyldigheter än tidigare. Att hanteringen av personuppgifterna sker korrekt och lagligt säkerställs av ett personuppgiftsombud. Det är ofta en anställd som är personuppgiftsombud, med en förteckning över register och annan behandling av personuppgifter, och som även hjälper registrerade att få felaktiga uppgifter rättade.

För den som arbetar som personuppgiftsbiträde, dvs hanterar personuppgifter för den personuppgiftsansvariges räkning utanför organisationen kommer det med den nya GDPR bli ett utökat ansvar. Ett personuppgiftsbiträde måste lämna garantier för att GDPR följs, inhämta tillstånd, bistå den personuppgiftsansvarige, föra register över behandling, ha ett eget ansvar för säkerhet och måste anmäla personuppgiftsincidenter till den personuppgiftsansvarige.

 
25
Sep
25 Sep

Moms – periodisk sammanställning – e-tjänst

Du som har sålt varor eller tjänster momsfritt till företag i andra EU-länder ska ha skickat in periodisk sammanställning för augusti 2017 till Skatteverket om du använder e-tjänsten.

Läs mer
Gå till kalendariet Lägg till i kalender

Srf Nyheter

Se alla nyheter
Prenumerera