Nu är det ett år kvar innan nya dataskyddsförordningen börjar gälla. Många tror, felaktigt, att det bara gäller B2C-företag, men även B2B-företag hanterar en hel del personuppgifter. Alla har ju t.ex. ett personalarkiv och ett CRM-system med en massa uppgifter om kunder och prospekts. Den 25.e maj år 2018 träder EU:s nya dataskyddsförordning i kraft vilket bland annat innebär att kraven på hantering av personuppgifter stärks. Förordningen ersätter PUL.
Nya rutiner och processer för säker hantering
Det kommer behövas nya rutiner och processer för säker hantering av register samt krav på ansvarig på ledningsnivå (DPO).
GDPR (General Data Protection Regulation) kommer att gälla för alla organisationer och branscher som på något sätt behandlar personlig och känslig information om sina anställda eller sina kunder. Omställningen till den nya lagen innebär även flera fördelar och transparens gentemot kunder och anställda om det hanteras rätt.
Informationsplikt
Enligt nya förordningen måste varje företag som behandlar personuppgifter informera berörda om att behandlingen sker och till vad uppgifterna används. Dessutom måste man få separata samtycken från personen i fråga, till varje användning av personuppgifter, förutom sådant som det finns lagliga krav att hantera. Alla har dessutom rätt att när som helst få veta vad man lämnat för samtycken, samt välja att bli ”bortglömd”, borttagen ur register m.m.
Vad är en behandling?
En behandling är all form hantering av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempelvis insamling, registrering, lagring, bearbetning eller ändring, framtagning, läsning, användning, spridning eller tillhandahållande på annat sätt, radering eller förstöring osv.
Vad är då personuppgifter?
Ofta tänker man sig att det främst handlar om personnummer, men det är så mycket mer. Personuppgifter är allt som kan härledas till en specifik person, d.v.s. kan någon förstå vilken person det rör sig om med hjälp av den information som lämnas, är det en personuppgift. T.ex.
- Adress
- Namn
- Personnummer
- Enskilda firmor
- Fotografier
- IP-adresser
- ”Nicks”
- Fingeravtryck, näthinneavtryck
- DNA (genetisk kod)
Bevarande och gallring
Utgångspunkten är att bolagen ska radera personuppgifterna när de inte längre behövs och många bolag behöver därför se över sina gallringsrutiner. För offentliga aktörer är det också viktigt att säkerställa att gallringsrutinerna är synkroniserade med dokumenthanteringsplanen.
Principer för hantering av personuppgifter
- Laglighet
- Korrekthet (uppdaterade, rättade, annars raderade)
- Öppenhet
- Endast för ändamålet
- Uppgiftsminimering
- Lagringsminimering
- Säkerställd integritet och konfidentialitet
Rapportering av personuppgiftsincidenter
När en organisation upptäcker att en personuppgiftsincident inträffat ska den inom 72 timmar anmäla detta till Dataskyddsinspektionen. (Exakt hur rapportering ska göras är inte bestämt ännu.)
En incident är enligt förordningen: ”En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller tillobehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats”
Det kan med andra ord röra sig om allt från dataintrång eller personal som kommer åt fel uppgifter till att någon tappar bort ett USB-minne eller en olåst telefon med åtkomst till personuppgifter.
Sanktioner vid brott mot förordningen
Sanktioner kan dömas ut om företaget inte lämnar information till den registrerade eller inte rapporterar intrång i tid. Den administrativa avgiften kan högst uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen (koncernnivå)