Ny dataskyddsförordning – vad gäller?

EUs nya dataskyddsforordning

Vad innebär EU:s nya Dataskyddsförordning?

Och vilka följder får den för din verksamhet? Ta del av vår juridiska experts sammanställning av EU:s dataskyddsförordning i en serie av inlägg. Först ut är ett inlägg där vi går igenom förordningen och vilka följder det för för din verksamhet.


Sharp Cookie Advisors

Vill du bli en del av vårt team och arbeta med IT-rätt och internetjuridik?

Vi söker biträdande jurister med 0 – 5 års erfarenhet.

www.sharpcookie.se


Det har sedan en lång tid tillbaka pågått diskussioner kring en uppdatering av EU:s dataskyddslag som inte har uppdaterats sedan 1995. Efter långa förhandlingar har parterna nu enats om ny lag som träder i kraft i alla EU-länder under inledningen av 2018. Företag har med andra ord två år på sig att uppfylla kraven i den nya lagen. Den nya lagen General Data Protection Regulation (GDPR) (”Dataskyddsförordningen”) kommer ersätta den tidigare Personuppgiftslagen (PUL) som baseras på det tidigare EU-direktivet Data Protection Directive (DPD).

Målsättningen med den nya dataskyddsförordningen är att på ett effektivt sätt modernisera dataskyddsreglerna i de 28 EU-medlemsländerna som har släpat efter den digitala utvecklingen. Den nya lagen kommer tydliggöra för företag vilka regler som gäller och vad som händer ifall man inte gör det. Till skillnad mot den tidigare lagen som inte varit detaljreglerande och nu får de nationella tillsynsmyndigheterna stora möjligheter att döma ut höga böter.

Nyheterna i Dataskyddsförordningen

  1. Kraven på hur personuppgifter hanteras kommer nu vara desamma i hela EU.
  2. Högre krav ställs på företagen på hur personuppgifter hanteras.
  3. En skyldighet för företag att till tillsynsmyndigheten, och i vissa fall den enskilde, anmäla dataintrång.
  4. Om ett företag tänker sig hantera personuppgifter som kan innebära stora integritetsrisker (som att inneha uppgifter om barn) så måste företaget göra en konsekvensanalys, s.k. Data Protection Impact Assessment. Om denna visar att risken är stor så måste tillsynsmyndigheten (Datainspektionen ) kontaktas och en förhandskontroll göras för att undersöka om sättet på vilka personuppgifterna samlas in och hanteras är lagenliga.
  5. ”Rätten att bli glömd” förstärks så att personer som inte längre vill att personuppgifter om dem behandlas ska kunna begära att uppgifterna raderas, om det inte finns legitima skäl att behålla dem.
  6. Enskilda ska kunna vända sig till ”sin egen” tillsynsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land. En svensk ska alltså kunna vända sig till Datainspektionen med ett klagomål som rör ett företag i Tyskland.
  7. De nationella tillsynsmyndigheterna kommer kunna döma ut stora ”administrativa avgifter på upp till 20 miljoner euro, om ett företag t. ex. inte lämnar ut information till registrerade, inte anmäler dataintrång eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder.

Vilka omfattas av vår nya dataskyddsförordning?

GDPR gäller de företag som samlar in, processar eller lagrar personuppgifter.

Notera att vår dataskyddsförordning inte bara gäller företagen som är verksamma inom EU, utan även de organisationer som har affärsrelationer med en organisation som är verksamt i EU eller lagrar data i något EU-land. Detta för att göra skyddet så heltäckande som möjligt för EU:s medborgare.


Sharp Cookie Advisors

Prisförslag på de avtal varje företag behöver

www.sharpcookie.se


 

Observera att det inte spelar någon roll om företaget erbjuder en tjänst mot betalning eller om det sker pro-bono – all personlig information som samlas in och hanteras ska skyddas.

Vad menas med ”personuppgift”?

Med personuppgift avses all information som entydigt går att koppla till en individ. Det kan vara uppenbara saker som exempelvis ett namn, men det kan också vara information som i kombination med andra uppgifter gör det möjligt att identifiera en person. Exempelvis kan information om antalet barn, kombinerat med kön och bostadsort göra det möjligt identifiera en person.

Exempelvis kan följande bedömas vara personuppgifter:

  • ett namn
  • en postadress
  • en e-postadress
  • platsinformation
  • bankuppgifter
  • ett foto
  • en uppdatering i sociala medier
  • medicinsk information
  • en dators IP-adress

Vad behöver förändras hos företagen?

De nya kraven kommer att innebära att företagen kommer att behöva agera samordnat och utifrån en affärsförankrad strategi.

Det kommer ställas högre krav på att företag och andra organisationer informerar om hur den enskildes personuppgifter hanteras.

Det kommer i förordningen finnas krav på att tillhandahålla information om den enskilde på att transparent och lättförståeligt sätt.

I och med den nya förordningen kommer det att ställas krav på att företag informerar den nationella tillsynsmyndigheten när personuppgifter har hackats, eller till och med informera den enskilde direkt om risken är hög för att den enskildes rättigheter och friheter kan skadas. Detta kan vara uppgifter som hackats kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

Läs vår guide om hur ditt företag förbereder sig

Om du vill ta del av vår guide, se vårt nästa inlägg här.

 

Vad har du för frågor? Jag är nyfiken på vad du tänker på så dela gärna med dig och lämna en kommentar så svarar jag på den så snart jag kan.

Tack att du tar dig tid att läsa detta, du får gärna dela inlägget om du tyckte att det var till hjälp.

För att veta mer om Sharp Cookie Advisors, eller om du har frågor om personuppgifter, personuppgiftsombud, eller behöver hjälp att förbereda ert företag för EU:s Dataskyddsförordning, klicka här.

Share

Related Post

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*