Om GDPR
General Data Protection Regulation
är en ny tvingande lagstiftning från EU som gäller fullt ut från den 25 maj 2018
Avsikten är att skydda alla EU-medborgares integritet.
Den ersätter vår Person Uppgifts Lag (PUL) och är betydligt skapare.
Genomförandet av GDPR
kommer att skilja en hel del beroende på verksamhetens verksamhet och uppläggning. Gemensamt är att alla behöver ha genomfört en dokumenterad inventering och deklarera hur verksamheten förhåller sig till all lagring av personuppgifter. Denna dokumentation ska vid förfrågan omedelbart kunna lämnas till berörd part.
Lär dig mer nedan
Vad det gäller
GDPR ska skydda nu levande personers integritet.
Uppgifter om företag och andra verksamheter omfattas ej, men människor som jobbar inom dessa verksamheter skyddas av GDPR.
Personuppgifter är alla uppgifter om en människa eller uppgifter som rimligen kan kopplas till en person. Nya dataskyddsförordningen (GDPR) är till för att skydda den enskilda människan.
Vem har ansvar
Verksamhetens ägare och högsta ledning har alltid ansvaret för att GDPR efterlevs. Den blir automatiskt personuppgiftsansvarig (en juridisk person) och måste kunna visa att GDPR följs.
Den personuppgiftsansvarige har bevisbördan.
Vissa verksamheter ska utse ett dataskyddsombud, som måste ha rätt kunskaper och befogenheter.
Intrång och stöld
Om den egna verksamheten råkar ut för någon form av dataintrång och personuppgifter blir skadade eller stulna, krävs att verksamheten anmäler det till Integritetsskyddsmyndigheten inom 72 timmar.
Verksamheten måste alltså vara skyddad så att ingen obehörig kan läsa (kopiera, stjäla eller manipulera personuppgifterna).
Övervakning ska finnas så att intrång upptäcks.
Sanktioner
GDPR innehåller viten och det maximala administrativa sanktionsbeloppet som kan utdömas är 4% av koncernens globala årsomsättning. Privatpersoner som drabbas har rätt till skadestånd. Jurister räknar med 5 000 till 10 000 SEK per person, men ännu finns inga rättsfall att luta sig mot. Ekonomiskt kanske inte problemet blir enskilda personer utan om verksamheten råkar ut för en masstämning. Oavsett går det pengar och tid till rättsprocessen.
Vem övervakar att GDPR efterlevs
Det finns tre parter som oberoende av varandra kan stämma verksamheten.
Den Svenska Integritetsskyddsmyndigheten (före detta Datainspektionen) ska svara för den Svenska efterlevnaden.
Samtidigt kan EU:s domstol driva samma ärenden (speciellt om de anser att den svenska myndigheten inte gör sitt jobb).
Slutligen kan varje Svensk person lyfta och driva ärenden mot den verksamhet som de anser inte har agerat korrekt. En spekulation är att vi kommer att hitta de första fallen här.
Datainspektionen
Det är sagt att Datainspektionen under 2018 kommer att byta namn till Integritetsskyddsmyndigheten. Vad den än heter har den ansvar för att GDPR efterlevsi Sverige. Sedan kan man se det den centrala dataskyddsstyrelsen i EU som en parallell överordnad instans.
Hur säkra är vi
GDPR är ett regelverk som ska tolkas av domstolar. Det betyder att allt eftersom domar kommer, så kommer samhället att veta mer om den exakta tillämpningen.
Dessutom kommer Svenska- och EU-myndigheter att skriva tillämpningsföreskrifter.
Trots detta gäller GDPR fullt ut från och med den 25 maj 2018.
Varje steg räknas
Börja inventera och dokumentera vilka personuppgifter som finns i verksamhetens register.
Dokumentera syftet med varje personuppgift och motivera varför den finns och hur den kommer att användas. Hur motiverar du att personuppgiften sparas enligt GDPR:s regelverk?
Detta dokument ska ständigt vara aktuellt. Det ska på anmodan direkt kunna lämnas över till berörda myndigheter. Vi tror att många kommer att publicera den på hemsidan.
Sedan leder denna kunskap till ett beslut om vilka åtgärder som kan vara lämpliga att fortsätta med.
Verksamheten äger inga personuppgifter
Tidigare ägde verksamheten sitt kundregister.
Så är det inte med GDPR.
Nu kan du se det som att verksamheten bara har personuppgifterna till låns och personen (kunden medarbetaren, vem du vill) kan när som helst begära att bli raderad.
Hur säkra är vi
GDPR är ett regelverk som ska tolkas av domstolar. Det betyder att allt eftersom domar kommer, så kommer samhället att veta mer om den exakta tillämpningen.
Dessutom kommer Svenska- och EU-myndigheter att skriva tillämpningsföreskrifter.
Trots detta gäller GDPR fullt ut från och med den 25 maj 2018.
Varje steg räknas
Börja inventera och dokumentera vilka personuppgifter som finns i verksamhetens register.
Dokumentera syftet med varje personuppgift och motivera varför den finns och hur den kommer att användas. Hur motiverar du att personuppgiften sparas enligt GDPR:s regelverk?
Detta dokument ska ständigt vara aktuellt. Det ska på anmodan direkt kunna lämnas över till berörda myndigheter. Vi tror att många kommer att publicera den på hemsidan.
Sedan leder denna kunskap till ett beslut om vilka åtgärder som kan vara lämpliga att fortsätta med.
Verksamheten äger inga personuppgifter
Tidigare ägde verksamheten sitt kundregister.
Så är det inte med GDPR.
Nu kan du se det som att verksamheten bara har personuppgifterna till låns och personen (kunden medarbetaren, vem du vill) kan när som helst begära att bli raderad.
Att bli gömd
När personer begär att få sina uppgifter raderade behöver verksamheten kunna motivera om det finns legala skäl att behålla uppgifterna och därmed inte tillgodose personens önskemål.
Om det inte finns legala skäl att behålla uppgifterna eller valda delar av uppgifterna gäller det att kunna bevisa att raderingen är komplett och permanent.
Kunskap om GDPR i verksamheten
För att GDPR ska fungera i den dagliga verksamheten krävs det att de medarbetare som berörs får kunskap om verksamhetens hantering och vilka regler som gäller och hur det påverkar den enskilda personen.
Berörd personal ska kontinuerligt förnya kunskapen om hur personuppgifter ska hanteras och ny personal ska ha samma kunskap.
Tänk på att en kunds personliga mobilnummer i den anställdes privata mobil är verksamhetens ansvar.
Det finns automatiserade metoder att säkerställa att GDPR följs.
Utlokaliserad datahantering
Verksamheten är alltid totalt ansvarig för hur data hanteras och säkerheten även om den ligger utlokaliserad hos annan part. Tydliga avtal är bra för att kunna utkräva skadestånd, men ursprungskravet riktar sig alltid mot den personuppgiftsansvarige.
Var ligger dina utlokaliserade data, i Sverige, i Europa? Vem, vilka kan komma åt den? Som personuppgiftsansvarig har du alltid det juridiska ansvaret och betalningsansvar.
Tips för e-posthanteringen
En stor mängd personuppgifter behandlas varje dag i de miljontals e-postmeddelanden som folk skickar. Datainspektionen håller på att utreda och kommer ge råd, men i väntan på att de blir klara måste vi se om vårt hus.
Inventera e-post som vilken personuppgiftsbehndling som helst. Dvs specificera för vilka ändamål personuppgifter behandlas i e-post i organisationen. Analysera vilken laglig grund som finns för behandlingen av personuppgifter i e-post, kopplat till de angivna ändamålen. Begränsa tiden som e-post med potentiella personuppgifter lagras. Upprätta rutiner som sorterar ut e-post som behöver lagras och överför dem dit de hör hemma, rensa.
Om man istället väljer att lagra e-posten så måste strikta sorteringsrutiner, mekanismer upprättas för att möjliggöra export och presentation av e-posten för de personer som har sina personuppgifter i materialet. Säkerhetsrutinerna kring e-posten blir också mer rigid.
https://computersweden.idg.se/2.2683/1.691780/gdpr-eu-e-post