Så anpassar du din verksamhet till de nya personuppgiftsreglerna

Den 25 maj 2018 kommer den svenska personuppgiftslagen att ersättas av GDPR (General Data Protection Regulation). GDPR:s syfte är att skapa enhetliga dataskyddsregler inom EU och därigenom underlätta för företag som verkar på EU:s inre marknad. GDPR kommer att innebära stora förändringar för den som hanterar personuppgifter. De som anpassar sin verksamhet innan GDPR träder ikraft kommer att spara både tid och pengar.

Stora förändringar för hantering av personuppgifter
Har ni redan idag väl genomarbetade rutiner och åtgärder för att säkerställa att personuppgiftslagen följs i er verksamhet? I sådant fall kommer ni troligtvis ha en bra grund att utgå ifrån. GDPR innehåller dock bestämmelser som innebär stora förändringar och även helt nya bestämmelser som saknar motsvarighet i personuppgiftslagen. Den som är personuppgiftsansvarig kan t.ex. behöva införa nya rutiner för att uppfylla GDPR:s utökade krav på öppenhet och de registrerades rättigheter. Vidare ställs högre krav på att kunna dokumentera efterlevnaden av GDPR i organisationen. I större företag kan detta få stor påverkan på frågor rörande budget, it-system, personal, styrning och kommunikation. Skulle en personuppgiftsansvarig missköta sin behandling av personuppgifter kan detta leda till bötesbelopp på upp till 20 000 000 euro eller upp till fyra procent av verksamhetens globala årsomsättning, beroende på vilket belopp som är högst.

Vi har redan i tidigare nummer av Wistrand News betonat vikten av att påbörja arbetet i tid med att utvärdera och överväga behovet av anpassning till GDPR:s nya krav, mer information finns här.

Datainspektionens checklista – frågor att ta ställning till
Datainspektionen har tagit fram en checklista på temat förberedelser inför GDPR som vägledning till personuppgiftsansvariga. Nedan följer en sammanfattning av några av de viktigaste punkterna i checklistan.

Medvetenhet och inventering
Är beslutsfattarna och andra nyckelpersoner medvetna om att GDPR kommer att ersätta personuppgiftslagen? Ett bra första steg är att just öka medvetenheten och undersöka hur organisationen kommer att påverkas av GDPR. Det är också viktigt att tidigt identifiera vilka områden som kräver särskilt anpassningsarbete, då risken annars är att det blir både svårt och dyrt att leva upp till GDPR:s regler i tid. Vidare bör man genomföra en inventering samt dokumentera vilka personuppgifter som behandlas i organisationen (inkl. hur de samlas in och till vem de lämnas ut). Genom att dokumentera vilka personuppgifter som hanteras, ökar också möjligheten att kunna visa att GDPR efterlevs. Ett alternativ till dokumentation är att införa en policy för dataskydd och tydliga rutiner för personuppgiftsbehandling.

Inhämtande av samtycke och information
Definitionen av ett giltigt samtycke är densamma i GDPR som personuppgiftslagen. Det ska röra sig om en frivillig, specifik och tydlig viljeyttring genom vilken den registrerade, efter att ha mottagit information om behandlingen, godtar att hans eller hennes personuppgifter behandlas. Observera att ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats inte godtas som samtycke enligt GDPR. Den som hanterar personuppgifter på basis av samtycke måste kunna visa i efterhand att ett samtycke lämnats i enlighet med GDPR:s krav. En granskning av den information som lämnas till den registrerade bör göras med anledning av GDPR:s utvidgade krav på vilken information som ska lämnas till den registrerade.

Missbruksregeln och rättslig grund
Utnyttjar ni idag personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den s.k. missbruksregeln, t.ex. vid publicering av personuppgifter på en webbplats?

Missbruksregeln har helt tagits bort i GDPR. Behandling som idag sker med stöd av missbruksregeln måste alltså ske med stöd av en rättslig grund framöver. De rättsliga grunderna för personuppgiftsbehandling är i princip oförändrade i GDPR. En nyhet är att organisationer nu kommer att behöva informera den registrerade om den rättsliga grunden redan när uppgifterna samlas in. Det är således viktigt att organisationen redan från början vet och kartlägger vilken rättslig grund som den aktuella behandlingen sker med stöd av. Slutsatserna bör dokumenteras för att organisationen ska kunna visa att kravet följs.

Dataintrång
GDPR innehåller nya krav på vilka skyldigheter en organisation har om den blir utsatt för dataintrång eller kontrollen över personuppgifterna förloras av annan orsak. Alla händelser av denna karaktär måste dokumenteras och i vissa fall anmälas till Datainspektionen. Nya rutiner kan behövas i organisationen för att kunna upptäcka, utreda och rapporterna eventuella händelser.

Ytterligare vägledning
För den som vill läsa Datainspektionens checklista i sin helhet finns den tillgänglig på Datainspektionens hemsida här. Vidare har den europeiska dataskyddsmyndigheten Artikel 29-gruppen publicerat tre vägledningar om dataportabilitet, dataskyddsombud och ansvarig tillsynsmyndighet som finns tillgängliga på Datainspektionens hemsida här.

Ytterligare vägledningar är att vänta under året.

Oavsett vilken typ av verksamhet organisationen bedriver är det hög tid att identifiera behovet av anpassning till GDPR utifrån dels verksamhetens karaktär, dels organisationens aktuella status i ljuset av personuppgiftslagen. Ett första steg är att utse en ansvarig person om sådan inte finns.

 
Kort fakta om GDPR (General Data Protection Regulation)
GDPR, General Data Protection Regulation, är en dataskyddsförordning som i april 2016 antogs av EU. Den innebär en skärpning av regelverket för hur organisationer som verkar inom EU får samla in, ge tillgång till, lagra och hantera personlig data. Lagen gäller verksamheter som hanterar personuppgifter.

Lagen ersätter personuppgiftslagen (PuL) i Sverige men kompletteras även med nationella regler.

GDPR träder i kraft 25 maj 2018.

Erik Ullberg, E: erik.ullberg@wistrand.se, M: +46 706 26 21 76

Amanda Samuelsson, E: amanda.samuelsson@wistrand.se, M: +46 709 17