GDPR

Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och ersätter då personuppgiftslagen (PuL).

 

Grunderna i dataskyddsförordningen

Har du ett kundregister, ett löne- eller personalregister, eller hanterar du i andra sammanhang personuppgifter, det vill säga uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person?

Då behöver du veta att EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och kallas dataskyddsförordningen eller GDPR.

Förordningen kommer att gälla direkt i alla EU:s medlemsländer och ersätter nationella regler, som till exempel personuppgiftslagen i Sverige.

Dataskyddsförordningen innehåller några viktigare nyheter

  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
  • Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
  • Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
  • I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.

En övergripande tanke med de nya reglerna är att tydligare betona att det företag, myndighet eller annan organisation som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs och kunna visa det (ansvarsskyldighet).

Det kan ske genom att man tar fram en särskild dataskyddspolicy och att man så långt som möjligt bygger in integritetsvänliga lösningar i sina datasystem.

 
I vår serie om GDPR har vi tagit fram guider för företag och organisationer, privatpersoner samt för webbplatser som drivs på plattformen WordPress.

GRATIS!
GDPR för privatpersoner

GRATIS!

GRATIS!

 
Önskas telefonrådgivning debiteras detta med 250 kr (inkl. moms) per påbörjad 20 minuters period.

Kent Rosqvist

 

Guiderna (E-kurserna) är framtagen av entreprenören Kent Rosqvist på CubeSeven.

Boka telefonrådgivning