Det viktigaste du behöver veta om GDPR

EU:s dataskyddsreform: nya regler kring personuppgiftsbehandling som påverkar alla företag.

Datainspektionen har fastställt en hel del förändringar kring personuppgiftshantering som träder i kraft i maj 2018, förändringar som kommer kräva en del åtgärder av alla som behandlar personuppgifter.

Vad räknas som personuppgifter?

I och med den nya dataskyddsförordningen uppstår nu en mängd frågor, varvid en av de viktigaste är: Vad räknas som personuppgifter? Så här definierar Datainspektionen personuppgifter enligt Emil Paulsson VD på Interactive.

“ – All slags information som direkt eller indirekt kan hänföras till en fysiskperson som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.”.

Om din verksamhet behandlar något som faller inom denna definition behöver ni därför se över er hantering av sådana uppgifter, där det första steget är att utse en personuppgiftsansvarig. Om inte dessa regler följs kan Datainspektionen utfärda viten på upp till fyra procent av företagets omsättning, och det är den personuppgiftsansvariges uppdrag att se till att reglerna följs i verksamheten. Det bör dock nämnas att exakt vilka krav som ställs på olika typer av verksamheter varierar, och det varierar även mellan de olika former av personuppgifter det rör sig om; vissa uppgifter ses som extra känsliga om de är integritetshotande. Det som följer här är därför mer generella förslag på förberedande åtgärder som de flesta verksamheter kan ha nytta av.

Ansvar hos företag & myndigheter

De mest relevanta förändringarna kommer att innebära ett större ansvar hos företag och myndigheter att informera om hur och varför de lagrar personuppgifter, samt vilka uppgifter det rör sig om. En bra början för att anpassa sig till de nya kraven är att överse var och hur ni lagrar informationen samt hur lätt informationen är att komma åt vid en eventuell cyberattack; är den krypterad och låst bakom lösenord etc., eller ligger det öppet i en mapp på skrivbordet?

Det ligger också fokus på att personuppgifterna endast får behandlas i samtycke med kunden. Innan samtycke kan inhämtas måste dock tydlig information ges om vad samtycket innebär. Informationen måste innehålla skälen till behandling av personuppgifterna, specifikation av vilka personuppgifter som kommer behandlas, samt information om hur samtycket kan återtas när som helst.

Vidare måste företagen och myndigheterna kunna redovisa att behandlingen av uppgifterna sker på ett korrekt och säkert sätt, detta enligt de riktlinjer som fastställs av Datainspektionen.

Data måste skyddas

Känsliga data ska också krypteras som standard för att ge extra skydd. Detta gäller samtliga filer innehållandes information som klassas som personuppgifter. En annan säkerhetsåtgärd är att pseudonymisera personuppgifter, dvs omöjliggöra en direkt koppling till person genom delvis censur eller förvrängning av ett namn eller dylikt.

Den så kallade “missbruksregeln”, vilken är ett undantag i den nuvarande personuppgiftslagen som tillåter användande av personuppgifter i ostrukturerat material såsom löpande text på internet, kommer inte finnas kvar i den nya förordningen. Detta gör det viktigt för er som idag utnyttjar detta undantag att se över vilka förändringar ni måste göra för att förhålla er till de nya kraven.

Den som idag behandlar personuppgifter på uppdrag av den personuppgiftsansvarige kallas idag för personuppgiftsbiträde; denne kommer i och med den nya förordningen få ett utökat personligt ansvar samt nya skyldigheter. I vissa fall kommer den vara lika ansvarig som den personuppgiftsansvarige.