sokmotoroptimering-on-page-seo
Sökmotoroptimering: On-page faktorer för topplaceringar
1 september, 2017
mobilvaxel-molnvaxel-abonnemang
Mobilväxel, molnväxel, telefonabonnemang & kommunikationslösningar för företag
15 april, 2018
Visa alla

GDPR – EU:s nya dataskyddsregler

dataskyddsregler

Vad är GDPR?

GDPR (General Data Protection Regulation) eller dataskyddslagen är en EU-förordning som ersätter PUL (Personuppgiftslagen) i Sverige. Lagen handlar om integritet, transparens, öppenhet samt ordning & reda. 

Det innebär i praktiken att ditt företag behöver vara mycket mer transparent med vilken personlig data som ni lagrar och vad ni gör med informationen. Ni måste även informera de registrerade om hur uppgifterna ska behandlas, begära samtycke om det behövs, tillåta insyn i behandlingen och radera uppgifterna. 

Syftet med den nya EU-förordningen är att stärka skyddet av personuppgifter för privatpersoner i hela EU. 

Datainspektionen har tagit fram en lista med lämpliga förberedelse inför GDPR som ni hittar här.

GDPR:s grundläggande krav

Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövsinte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. 

Behandling

Behandling av personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

säkerhet

Säkerställande av lämplig säkerhet för personuppgifterna. Skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Lämpliga tekniska eller organisatoriska åtgärder.

Ändamål

Personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och behandlas på sätt som är förenligt med ändamålen. Definiera avsikten med insamlingen och användningen. Gäller även profilering*.

Bestämd tid

Uppgifterna får inte förvaras i en form som möjliggör identifiering längre än vad som är nödvändigt för ändamålen. Det bör finnas en tidsfrist för radering eller för regelbunden kontroll för att säkerställa att personuppgifter inte sparas längre än nödvändigt.

*Med ”profilering” menas kategorisering av personer, baserad på de registrerades personuppgifter.
Till exempel e-handelsverktyg som skapar profileringar baserade på användarnas köpbeteende, ålder, kön m.m.

Vad behöver mitt företag göra utifrån nya dataskyddslagen?

1

Inventera

2

Dokumentera

3

Skapa Rutiner

4

Systemstöd

  • 1. Inventera
  • 2. Dokumentera
  • 3. Skapa rutiner
  • 4. Systemstöd

Inventera personuppgifternas livscykel från insamling till radering

Börja med att göra en lista över vilka personuppgifter ni lagrar och/eller hanterar och hur de samlas in. Detta gäller oavsett om ni använder ett system eller har manuella processer och rutiner. Skriv upp systemets namn och vem som ansvarar för systemet hos er.

Tips! Börja med det ni gör bäst, det vill säga hur ni arbetar. Skapa bilder av era processer och se till att era policys och arbetsbeskrivningar är uppdaterade. Försök att se helheten, har ni exempelvis flera system som delar information med varandra så är det viktigt att följa hela livscykeln.

Dokumentera personuppgifternas livscykel från insamling till radering

När ni har överblick över vilka personuppgifter som hanteras inom er organisation och vad syftet är med dessa så behöver ni dokumentera vilka lagliga grunder ni har för lagring/behandling av dessa uppgifter samt vad ni har för gallringsrutiner och processbeskrivningar.

Grunderna för laglig behandling är:

  • Samtycke
    Ni har personens samtycke till att lagra/behandla uppgifterna

    (Tänk på att personen har rätt att ta tillbaka sitt samtycke)
  • Avtal
    Ni har ett avtal eller har för avsikt att ingå avtal med den registrerade personen
  • Rättslig förpliktelse
    När lagen kräver att ni måste registrera/behandla personuppgifter, exempelvis bokföringslagen
  • Intresseavvägning
    När era syften väger tyngre än den registrerades rätt att slippa behandlingen Exempel:  När en arbetsgivare ska kontrollera och övervaka anställda om det krävs av säkerhetsskäl, till exempel inpasseringssystem
  • För att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person
    Till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.
  • För att utföra en uppgift av allmänt intresse eller myndighetsutövning

Tips! Dataskyddsförordningen kräver att er organisation löpande underhåller och uppdaterar dokumentationen över vilka personuppgifter ni behandlar och lagrar. Därför är det bra att dokumentera och förklara hur ni har tolkat lagtexten.
Ta hjälp av verksamhetsexperter och experter inom Dataskyddsförordningen för att ta fram vilka lagliga grunder som gäller för er organisation.

Skapa Rutiner & Processer

De nya dataskyddsreglerna är inget som kan hanteras av en enda enskild individ i ett företag utan det är väldigt viktigt att alla inom organisationen är väl informerade kring processen och behandlingen av personuppgifter.

Till exempel om en person önskar att vilja bli ”glömd/borttagen” från ert affärssystem, då ska alla inom verksamheten veta hur denna rutin ska genomföras.

Tips! Det finns inte någon enskild metod som är bäst. Organisera arbetet och använd era egna projektmodeller. Ni behöver lägga extra vikt vid kunskapsöverföring och processutveckling eftersom detta är ett ständigt pågående arbete.

Låt systemet styra användaren rätt

Med hjälp av ett affärssystem blir det enklare för organisationer att uppfylla reglerna i förordningen. Fördelen med ett IT-system är att ni kan minimera antalet personuppgifter och låta systemet styra användaren rätt.

 

Ni kan enkelt se över behörigheter, roller och de processer som behandlar personuppgifter och få svar på följande frågor:

  • Vilka personuppgifter behandlar vi?
  • Var i systemet behandlar vi personuppgifter?
  • Varför behöver vi behandla dessa uppgifter?
  • Vilka personer har behörighet för att komma åt dessa uppgifter?
  • Hur länge sparar vi dessa uppgifter?

Är du intresserad av ett affärssystem? Klicka här för att läsa mer om WorkCloud

Vad räknas som personuppgift?

”Varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras…”

Till exempel: Namn, personnummer, ID-nummer, lokaliseringsuppgift, lägenhetsnummer, kundnummer, e-post, telefonnummer, registreringsnummer, IP-nummer, bild, hälsodata, köphistorik eller andra känsliga uppgifter.

Vad räknas som personuppgiftsbehandling?

En åtgärd eller kombination av åtgärder beträffande personuppgifter så som: Insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, låsning, användning, utlämning genom överföring, radering eller förstöring oberoende om det sker automatiserat eller inte.

Rättslig grund för att behandla personuppgifter

När får personuppgifter behandlas?

gdpr, dataskyddsregler
  • Samtycke
    Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Om du baserar på samtycke ska du kunna visa samtycket samt informera om vad, hur och var uppgifterna kommer att användas.

Exempel: Om du har ett formulär för nyhetsbrev så behöver du informera användaren att du sparar informationen för att senare använda i exempelvis marknadsföringssyfte.

Tänk på att du inte får flytta adresserna hur som helst mellan listor, inte heller ge dem vidare till andra om detta inte tydligt framgått när man skrev upp sig på listan. Det är heller inte okej att ha t ex check-boxar för mejlprenumeration checkade som förval.

  • Avtal
    Om behandling av personuppgifter är nödvändig för vissa angivna ändamål.

Exempel: Ni har ett avtal eller har för avsikt att ingå avtal med den registrerade personen

  • Rättslig förpliktelse
    Om det finns rättslig förpliktelse att lagra informationen

Exempel: Laglig skyldighet kan vara bokföringslagen, lagstiftning kring penningtvätt eller andra lagar som påverkar er verksamhet.

  • Intresseavvägning
    Personuppgiftsansvariges berättigade intressen kan utgöra rättslig grund för behandling.

Exempel: Berättigat intresse kan finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige.

  • För att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person

Exempel: när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan

  • För att utföra en uppgift av allmänt intresse eller myndighetsutövning

Samtycke enligt dataskyddsförordningen

Krav på samtycke:

  • Frivilligt – Separata samtycken om flera olika behandlingar
  • Specifikt & otvetydigt
  • Individuellt

Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats.

Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ett samtycke kan återkallas av de registrerade.

Tips! Ni bör fundera över hur ni i efterhand ska kunna visa att ett giltigt samtycke har lämnats.

Skillnader mellan Personuppgiftslagen (PUL) & GDPR

PUL-GDPR

GDPR innebär att företag måste kunna visa vad de vill göra med personuppgifterna, medan PUL har mer varit inriktat på hur data ska hanteras när ett företag väl införskaffat dem.

Högre krav på analyser och dokumentation.

Kravet på samtycke mellan ert företag och personerna vars uppgifter ni registrerar ökas. Den nya förordningen kräver även att du i efterhand måste kunna visa att samtycke har lämnats och att den som lämnat sitt samtycke kan när som helst ta tillbaka det.

Dataportabilitet – Den registrerade har rätt att få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format samt överföra dessa till en annan personuppgiftsansvarig.

Privacy by design – Integritetsskydd ska finnas inbyggt i systemet redan från början och genomsyra personuppgifternas hela livscykel

Rätten att ``bli glömd`` för de registrerade (Gäller även backuper, mail och säkerhetskopior som innehåller personuppgifter)

Hårdare krav på rutiner för att upptäcka, rapportera och utreda personuppgiftsincidenter

Samtycket måste vara tydligare och krävs under fler omständigheter

PUL:s undantag (den så kallade missbruksregeln) för att behandla personuppgifter i ostrukturerat material försvinner. All behandling av ostrukturerade data (e-post, fritext i dokument, ljudfiler) omfattas av hela lagen utan att det finns särskilda undantag.

Bryter man mot GDPR kan man få böter på upp till 20 miljoner euro, eller upp till 4% av den globala årsomsättningen

Klicka här om du vill läsa mer om hantering av personuppgifter i e-post/mail

it-sakerhet

IT-säkerhet en viktig del

Det finns inga absoluta krav på kryptering av uppgifter men det ställs höga krav på säkerheten i samband med behandling av personuppgifter, särskilt när det kommer till känsliga uppgifter så som exempelvis hälsa.

När ni behandlar personuppgifter ska ni vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i förordningen. Vilka åtgärder som krävs beror på typ av personuppgifter, omfattning, syfte med behandlingen och vilka risker som behandlingen kan innebära.

Ett exempel är Pseudonymisering för att minska riskerna, men det ersätter inte andra åtgärder för dataskydd.

Pseudonymisering: teknik som gör det lättare att säkerhetsmässigt hantera personuppgifter. Exempelvis byta ut personnummer mot unikt medlemsnummer. Detta medför att uppgifterna inte går att koppla till en enskild person utan ytterligare information/nyckel som hålls avskild.

  • Sekretess
    Förhindrande av obehörigt avslöjande av information
  • Integritet
    Förhindrande av obehörig eller oavsiktlig förändring av information
  • Tillgänglighet
    Förhindrande av obehörigt undanhållande av information
  • Spårbarhet
    Vissa eller alla aktiviteter i ett system ska kunna härledas till en användare
  • Oavvislighet
    Omöjliggörande av förnekande av att data skickats eller mottagits

Personuppgiftsincidenter

EU:s nya dataskyddregler kräver att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter.

  • Krav på dokumentation vid dataintrång eller om ni på något sätt förlorar kontrollen över de uppgifter ni behandlar.
  • Anmäla personuppgiftsincidenter inom 72 timmar från det att man upptäckt vad som hänt till Datainspektionen. Någon anmälan behöver dock inte göras om det är osannolikt att incidenten leder till några risker.
  • Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder ska ni även informera de registrerade om händelsen.

Tips! Då tidsfristerna för att rapportera incidenter är korta, är det bra att redan nu bestämma var i organisationen ansvaret ska ligga så att anmälan kan göras i tid.

Personuppgiftsansvarig

Den som bestämmer ändamålen med och medlen för behandling av personuppgifter

Ansvarar gentemot den registrerade

Ansvarar för att säkerställa att behandlingen är i enlighet med förordningen

Flera personuppgiftsansvariga kan vara ansvariga för samma behandling

Oftast en juridisk person: ett bolag, en förening, en myndighet, en kommun eller ett landsting

Personuppgiftsbiträde

  • Behandlar personuppgifter för den personuppgiftsansvariges räkning
  • Får endast behandla personuppgifter i enlighet med den personuppgiftsansvariges dokumenterade instruktioner

Som personuppgiftsbiträde gäller relativt långtgående eget ansvar

  • Eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder så att säkerhetsnivån för behandlingen är tillräcklig
  • Skyldig att föra register över alla kategorier av behandling som utförs för den personuppgiftsansvariges räkning
  • Bistå den personuppgiftsansvarige när denne ska fullgöra sina skyldigheter enligt förordningen
  • Kan drabbas av administrativa sanktioner som utdöms av Datainspektionen.

Dataskyddsombud i vissa organisationer

Dataskyddsförordningens krav på att utnämna ett dataskyddsombud enligt följande:

  • Offentliga verksamheter
  • Organisationer där kärnverksamheten på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor skala eller omfattande behandling av känsliga personuppgifter.

För mer informaion: www.datainspektionen.se/personuppgiftsombud

Privacy By Design

”Privacy By Design” innebär att bygga in dataskydd i IT-system med syftet att minimera antalet personuppgifter och låta systemet styra användaren rätt.
Till exempel:

  • Endast samla in uppgifter som är nödvändiga för syftet, ett sätt kan vara att undvika fritextfält
  • Uppgifter ska anonymiseras eller raderas efter att behovet av identifiering har upphört
  • Med hjälp av behörigheter kunna begränsa tillgången till personuppgifter och känslig information
  • Skydd av personuppgifter under hela livscykeln. Från insamling, behandling, säkerhetskopiering till gallring och radering

Referenser till denna artikel

Datainspektionen – MAQS advokatbyrå (Christina Berggren) – GDPR.se –  CIO Sweden

Notering: Bluescreen är ett IT-företag & Webbyrå. Vi må kunna en del om GDPR men vi är inga jurister. Våra GDPR relaterade inlägg är inte någon juridisk rådgivning utan mer som information. Vi rekommenderar att ni sätter er in ordentligt i de nya dataskyddslagarna och skaffar juridisk hjälp vid behov.