Blogginlägg -

Sammanfattning av förslag till dataskyddsförordning

Europakommissionen presenterade i januari 2012 ett förslag till dataskyddsförordning. Lagförslaget innebär stora förändringar och det har i media debatterats att det kan strida mot svensk grundlag. Affärsverksamhet som bygger på att kunder lämnar personuppgifter för att få åtkomst till tjänster via Internet kommer att påverkas. Det vill säga nästan all affärsverksamhet som bedrivs på nätet idag…

Jag sammanfattar nedan mycket kort de förändringar som jag bedömer kommer ha störst inverkan:

En enda EU-gemensam lag för dataskydd
Om förordningen antas, blir det en enda gemensam EU-lagstiftning som måste efterlevas. Det vill säga att svensk personuppgiftslag ersätts av EU-gemensam lag.

Böter
Ett brott mot de nya reglerna om dataskydd kan leda till böter på upp till
€ 1 000 000 eller två procent av omsättningen.

Anmälan
Brott som innebär allvarliga överträdelser mot förordningen måste anmälas utan dröjsmål (inom 24 timmar om så är möjligt). Detta kommer att kräva att processer och rutiner finns på plats.

Ny roll
Ett oberoende personuppgiftsombud måste tillsättas för myndigheter och företag med 250 eller fler anställda samt för organisationer vars kärnverksamhet omfattar behandling av personuppgifter.

Samtycke
Uttryckligt samtycke måste erhållas från registrerade. Allmänna villkor, inaktivitet eller tystnad kommer inte accepteras som samtycke. Den registrerade ska när som helst kunna återkalla sitt samtycke.

Rätt att bli glömd
Registrerade har rätt att ”glömmas bort”. Detta innebär att alla personuppgifter som registrerats ska kunna tas bort.

Organisationer utanför EU
De nya reglerna kommer att gälla för organisationer (etablerade utanför EU) som erbjuder sina varor eller tjänster till kunder inom EU. Till exempel måste ett amerikanskt företag med dotterbolag i EU uppfylla den nya dataskyddslagstiftningen utöver amerikanska lagar. Det finns undantag, men dessa går jag inte in på här.

Tillsynsmyndigheterna
Tillsynsmyndigheterna i respektive land stärks i sin myndighetsutövning. I Sverige är Datainspektionen tillsynsmyndighet.


Vad är ”Privacy by design”?
Principen Privacy by design ska kunna användas i t ex systemutveckling för att säkerställa att kraven ovan går att efterleva i informationssystemen. Privacy by design är en princip som i huvudsak innebär följande fyra grundpelare:

  • Minimera antalet personuppgifter som behandlas
  • Begränsa åtkomsten till de lagrade personuppgifterna
  • Skydda personuppgifterna från obehörig åtkomst
  • Underlätta för användarna att tillvarata sina rättigheter
Enligt EU-kommissionens förslag ska den personuppgiftsansvarige säkerställa att alla system i vilka personuppgifter behandlas ska byggas utifrån principerna om privacy by design (2012/0011 (COD)).


Slutsats
Dags att börja förbereda sig redan nu?

// Annika Biberg
Informationssäkerhetskonsult på SAFESIDE SOLUTIONS AB

Läs mer:
http://www.euractiv.com/infosociety/eu-propose-mandatory-reporting-c-news-516723
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/inbyggd-integritet-privacy-by-design/

 

Relaterade länkar

Ämnen

  • Datasäkerhet

Kategorier

  • privacy by design
  • it-säkerhet
  • informationssäkerhet

Kontakter

Annika Biberg

Informationssäkerhetskonsult 070-358 93 06

Relaterat innehåll

Upphandling av säkra outsourcing- och molntjänster

I besparingstider är det lockande för de flesta organisationer att försöka spara pengar genom att outsourca delar av sin IT-verksamhet eller köpa IT-tjänster. Detta kan fungera utmärkt men även innebära en hel del oförutsägbara problem.

Vad gör du för att din outsourcade information inte skall komma i fel händer?

I besparingstider är det lockande för de flesta organisationer att försöka spara pengar genom att outsourca delar av sin IT-verksamhet eller köpa IT-tjänster. Detta kan fungera utmärkt men emellanåt ser vi problem med den utlagda IT-verksamheten. Hur säkerställer du att din outsourcingpartner har förutsättningar för att hjälpa dig att efterleva de säkerhetskrav som ställs på din information?