Vad innebär EU:s nya Dataskyddsförordning?
Och vilka följder får den för din verksamhet? Ta del av vår juridiska experts sammanställning av EU:s dataskyddsförordning i en serie av inlägg. Först ut är ett inlägg där vi går igenom förordningen och vilka följder det för för din verksamhet.
Det har sedan en lång tid tillbaka pågått diskussioner kring en uppdatering av EU:s dataskyddslag som inte har uppdaterats sedan 1995. Efter långa förhandlingar har parterna nu enats om ny lag som träder i kraft i alla EU-länder under inledningen av 2018. Företag har med andra ord två år på sig att uppfylla kraven i den nya lagen. Den nya lagen General Data Protection Regulation (GDPR) (”Dataskyddsförordningen”) kommer ersätta den tidigare Personuppgiftslagen (PUL) som baseras på det tidigare EU-direktivet Data Protection Directive (DPD).
Målsättningen med den nya dataskyddsförordningen är att på ett effektivt sätt modernisera dataskyddsreglerna i de 28 EU-medlemsländerna som har släpat efter den digitala utvecklingen. Den nya lagen kommer tydliggöra för företag vilka regler som gäller och vad som händer ifall man inte gör det. Till skillnad mot den tidigare lagen som inte varit detaljreglerande och nu får de nationella tillsynsmyndigheterna stora möjligheter att döma ut höga böter.
Nyheterna i Dataskyddsförordningen
- Kraven på hur personuppgifter hanteras kommer nu vara desamma i hela EU.
- Högre krav ställs på företagen på hur personuppgifter hanteras.
- En skyldighet för företag att till tillsynsmyndigheten, och i vissa fall den enskilde, anmäla dataintrång.
- Om ett företag tänker sig hantera personuppgifter som kan innebära stora integritetsrisker (som att inneha uppgifter om barn) så måste företaget göra en konsekvensanalys, s.k. Data Protection Impact Assessment. Om denna visar att risken är stor så måste tillsynsmyndigheten (Datainspektionen ) kontaktas och en förhandskontroll göras för att undersöka om sättet på vilka personuppgifterna samlas in och hanteras är lagenliga.
- ”Rätten att bli glömd” förstärks så att personer som inte längre vill att personuppgifter om dem behandlas ska kunna begära att uppgifterna raderas, om det inte finns legitima skäl att behålla dem.
- Enskilda ska kunna vända sig till ”sin egen” tillsynsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land. En svensk ska alltså kunna vända sig till Datainspektionen med ett klagomål som rör ett företag i Tyskland.
- De nationella tillsynsmyndigheterna kommer kunna döma ut stora ”administrativa avgifter på upp till 20 miljoner euro, om ett företag t. ex. inte lämnar ut information till registrerade, inte anmäler dataintrång eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder.
Vilka omfattas av vår nya dataskyddsförordning?
GDPR gäller de företag som samlar in, processar eller lagrar personuppgifter.
Notera att vår dataskyddsförordning inte bara gäller företagen som är verksamma inom EU, utan även de organisationer som har affärsrelationer med en organisation som är verksamt i EU eller lagrar data i något EU-land. Detta för att göra skyddet så heltäckande som möjligt för EU:s medborgare.
Observera att det inte spelar någon roll om företaget erbjuder en tjänst mot betalning eller om det sker pro-bono – all personlig information som samlas in och hanteras ska skyddas.
Vad menas med ”personuppgift”?
Med personuppgift avses all information som entydigt går att koppla till en individ. Det kan vara uppenbara saker som exempelvis ett namn, men det kan också vara information som i kombination med andra uppgifter gör det möjligt att identifiera en person. Exempelvis kan information om antalet barn, kombinerat med kön och bostadsort göra det möjligt identifiera en person.
Exempelvis kan följande bedömas vara personuppgifter:
- ett namn
- en postadress
- en e-postadress
- platsinformation
- bankuppgifter
- ett foto
- en uppdatering i sociala medier
- medicinsk information
- en dators IP-adress
Vad behöver förändras hos företagen?
De nya kraven kommer att innebära att företagen kommer att behöva agera samordnat och utifrån en affärsförankrad strategi.
Det kommer ställas högre krav på att företag och andra organisationer informerar om hur den enskildes personuppgifter hanteras.
Det kommer i förordningen finnas krav på att tillhandahålla information om den enskilde på att transparent och lättförståeligt sätt.
I och med den nya förordningen kommer det att ställas krav på att företag informerar den nationella tillsynsmyndigheten när personuppgifter har hackats, eller till och med informera den enskilde direkt om risken är hög för att den enskildes rättigheter och friheter kan skadas. Detta kan vara uppgifter som hackats kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.
Läs vår guide om hur ditt företag förbereder sig
Om du vill ta del av vår guide, se vårt nästa inlägg här.
Vad har du för frågor? Jag är nyfiken på vad du tänker på så dela gärna med dig och lämna en kommentar så svarar jag på den så snart jag kan.
Tack att du tar dig tid att läsa detta, du får gärna dela inlägget om du tyckte att det var till hjälp.
För att veta mer om Sharp Cookie Advisors, eller om du har frågor om personuppgifter, personuppgiftsombud, eller behöver hjälp att förbereda ert företag för EU:s Dataskyddsförordning, klicka här.
Får en kund till vårt företag fota en kollegas ID-06 (id-legitimation) tillsammans med körkortet?
Hej,
Det beror på i vilket syfte det sker och hur dessa uppgifter ska användas och lagras. Vissa branscher har t.ex. lagkrav på sig at identifiera dina kunder och dokumentera det i register som t.ex. banker, jurister, företagskonsulter vid försäljning av bolag, fastigheter etc.
Vi följer upp din fråga med en kontakt med dig utanför denna tråd.
Med vänlig hälsning,
Sharp Cookie Advisors
Gäller detta även för idrottsföreningar som behöver namnlista på ideellt arbetande personer inom föreningen
Hej,
Dataskyddsförordningen (GDPR) gäller för all verksamhet oavsett hur det är organiserat. Enda undantagen är rent privat användning, som t.ex. anordnande av ett vanligt kalas t.ex. Däremot finns det säkert goda skäl för hur idrottsföreningar hanterar personuppgifter för sin verksamhet- så GDPR borde inte ställa till med problem och hindra er verksamhet.
Hej!
Om man bara har juridiska personer som kunder i sitt kundregister, hur påverkar det reglerna i GDPR?
Mvh/Peter
Hej Peter,
Tack för din fråga – kontaktpersoner vid företag i ert kundregister omfattad av reglerna om personuppgifter. Ni behöver ta hänsyn till dataskyddsreglerna även för detta register och hur ni kommunicerar och på andra sätt behandlar dessa personuppgifter.
Mvh
Sofia Edvardsen
Tack för en bra artikel.
Hur gör man om en kund vill att man ska radera alla uppgifter om en men pga. fakturering/redovisningsskäl går det inte att radera allt? Anses det vara en god skäl till att man inte kan radera uppgifter som har med redovisning och kvittohantering att göra?
//Thomas
Hej Thomas,
Tack för de fina orden. Rätten att få uppgifter raderade är ingen absolut rättighet, utan du som personuppgiftsansvarig har möjlighet att pröva begäran. Enligt GDPR har ansvarig rätt att behålla vissa uppgifter, t.ex. om lagstöd finns för att behålla verifikationer av bokförings- och skatteskäl.
Mvh,
Sofia Edvardsen
Hej!
Jag försöker få reda på huruvida dessa regler kommer påverka tandläkare. Främst när det gäller rätten att bli raderad.
Har du någon information kring detta?
Mvh,
Fredrik
Hej Fredrik,
Tack för din kommentar. Jo, alla branscher påverkas av de nya dataskyddsreglerna även vårdsektorn. Se även min artikel på IDG.se och Computer Sweden om vad GDPR betyder för vårdbolag, https://computersweden.idg.se/2.2683/1.679264/gdpr-varden-bolag-eu
Vi är verksamma inom vård och omsorgssektorn och hjälper flertalet vårdföretag (däribland tandläkare) och ger gärna råd till dig. Hör av dig till oss på Sharp Cookie Advisors info@sharpcookie.se så kan vi ge dig mer anpassade svar och rådgivning efter dina behov.
Ser fram emot att höra av dig!