Det har knappast undgått någon att den nya dataskyddsförordningen om behandling av personuppgifter, GDPR, träder i kraft den 25 maj i 2018. Men vad innebär den nya förordningen i praktiken och vad är straffet om man inte följer den?
Den 25 maj närmar sig med stormsteg. Hittills har företag som har gjort en felaktig behandling av personuppgifter kommit lindrigt undan. Det ändras nu helt i samband med dataskyddsförordningen. Med GDPR kan företag framöver straffas med böter på upp till 20 miljoner euro eller upp till fyra procent av den globala årsomsättningen – och mindre företag utgör inget undantag. För dig som är IT-ansvarig är det med andra ord hög tid att se över er nuvarande behandling av personuppgifter.
Många krav som idag finns i personuppgiftslagen, PuL, kommer fortsätta att gälla enligt GDPR, men det finns även stora skillnader. Exempelvis innebär GDPR nya krav på dokumentation, uppföljning och riskanalyser på företagets behandling av personuppgifter. Dessutom måste ditt företag kunna visa att ni följer bestämmelserna i GDPR enligt det nya kravet om ansvarsskyldighet.
Höga böter och skadeståndsansvar under GDPR
Vid vissa överträdelser, till exempel om företagets register över personuppgiftsbehandling inte är komplett, kan sanktionerna uppgå till det högre av två procent av den globala årsomsättningen eller 10 000 000 euro. Vid allvarligare överträdelser, till exempel om ditt företag inte uppfyller kraven på rättslig grund för behandlingen, kan sanktionerna uppgå till det högre av fyra procent av den globala omsättningen eller 20 000 000 euro. I Sverige är det Datainspektionen som kommer att fatta beslut om sanktionsavgifterna.
Om det inträffar en säkerhetsincident, till exempel att personuppgifter har läckt ut genom dataintrång, måste ni enligt GDPR rapportera det till Datainspektionen inom 72 timmar. Ni kan även behöva informera de personer som drabbats. Om personer dessutom lider skada för att företaget har brutit mot reglerna i GDPR, exempelvis för att företaget inte hanterat personuppgifterna på ett tillräckligt säkert sätt, har de drabbade även rätt till skadestånd.
Viktiga utgångspunkter för korrekt behandling av personuppgifter enligt GDPR
En viktig utgångpunkt, som även gäller enligt PuL, är att personuppgifter inte är något som företaget ”äger” utan bara något som företaget behandlar. Utgångspunkten är alltid att individen äger sina personuppgifter. När ditt företag samlar in personuppgifter från individer måste ni bland annat uppge ändamålet för behandlingen. Ni får sedan inte spara uppgifterna längre än de behövs för att uppfylla ändamålet. Ni måste därför ha rutiner för att regelbundet radera personuppgifter som inte längre får lagras.
GDPR innebär även ökade rättigheter för de individer vars personuppgifter ni behandlar. De har till exempel rätt att få tillgång till information om ändamålet med behandlingen av deras personuppgifter, vilka uppgifter som finns lagrade om dem och hur länge de kommer att lagras samt rätt att få felaktiga personuppgifter rättade.
Ta kontroll över personuppgifterna och datasäkerheten
Med den nya lagstiftningen behöver ni ha kontroll över alla personuppgifter som behandlas i företaget, oavsett om dessa finns i dokument, i mail, i databaser, på interna servrar, i olika enheter eller i molnet. Den så kallade missbruksregeln, som enligt PuL medger enklare regler för behandling av personuppgifter i ostrukturerat material – såsom löpande text, ljud, bild, listor eller i e-post – försvinner helt med den nya förordningen.
För att kunna leva upp till de nya kraven bör leverantören av era IT-system ha arbetat med så kallad ”privacy by design”, dvs. inbyggt integritetsskydd. Det innebär bland annat att leverantören har tagit hänsyn till säkerhets- och integritetsfrågor redan vid utvecklingen av IT-systemen.
Ett första steg är att göra en översyn över all personuppgiftsbehandling i ditt företag. Först då får ni koll på om ni följer lagstiftningen eller om ni behöver vidta åtgärder.
Läs även checklistan där vi punktat 7 viktiga steg för att klara GDPR-anpassningen »



