Behandlar du personuppgifter?
Mycket är oförändrat
Mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen. På samma sätt som idag får man behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning till exempel. De registrerade kommer även i fortsättningen att ha rätt att få information om den personuppgiftsbehandling som sker – och den som behandlar personuppgifter måste ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på rätt sätt. Om det är fråga om uppgifter om hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.
Dataskyddsförordningen innehåller några viktigare nyheter
När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
- Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
- Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
- Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
- Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
- I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.
Det här är några nyheter som kommer med dataskyddsförordningen. En övergripande tanke med de nya reglerna är att tydligare betona att det företag, myndighet eller annan organisation som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs och kunna visa det (ansvarsskyldighet). Det kan ske genom att man tar fram en särskild dataskyddspolicy och att man så långt som möjligt bygger in integritetsvänliga lösningar i sina system.
När och för vem gäller dataskyddsförordningen?
Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde.
Förbered er
På Datainspektionens webbplats finns mer information om dataskyddsförordningen och andra delar av dataskyddsreformen, bland annat checklistor för personuppgiftsansvariga och personuppgiftsbiträden för hur man förbereder sig för förordningen.
Svensk version av dataskyddsförordningen (webbversion)
Svensk version av dataskyddsförordningen (pdf-version)
Engelsk version av dataskyddsförordningen (pdf-version)
Läs mer om:
Dataskyddsförordningens beaktandesatser (skäl)
Enkla grunder i dataskydd
Dataskyddsförordningens syfte
Missbruksregeln upphör
Dataskyddsförordningens tillämpningsområde
Principer för behandling av personuppgifter
Rättslig grund för personuppgiftsbehandling
Känsliga personuppgifter
De registrerades rättigheter
Skyldigheter för de som behandlar personuppgifter
Källa: