Vad skiljer GDPR från PUL?
GDPR ska skydda människor från att deras personliga integritet kränks när personuppgifter behandlas av andra. Det kallas för personuppgiftshantering. All slags behandling av uppgifter som direkt eller indirekt kan hänföras till en fysisk person omfattas, alltifrån loggning och lagring till överföring och radering.
GDPR innehåller många nyheter, men det är också mycket som är likt dagens lagstiftning, personuppgiftslagen (PUL). De flesta av GDPRs begrepp och principer är samma som i PUL. Ni som idag har koll på vilka behandlingar som görs och som har rutiner och processer på plats för att säkerställa att PUL följs har därför en bra grund att utgå ifrån!
GDPR bjuder som sagt på en mängd nyheter. Bland annat ställs nya krav på personuppgiftsbiträdet, utökad informationsskyldighet gentemot den registrerade, konsekvensbedömning vid viss behandling, incidenthantering och rapportering, privacy by design, krav på dataskyddsombud i vissa fall samt sanktionsavgifter. Personuppgiftslagens undantag för behandling av personuppgifter i ostrukturerat material, den så kallade missbruksregeln, försvinner också i och med GDPRs intåg.
En ytterligare nyhet till följd av GDPR är att vi utöver GDPR troligtvis också kommer att få en lag i Sverige som heter dataskyddslagen. Förslaget till lagen lämnades av regeringens utredare i maj 2017. Bland annat föreslås i utredningen att minimiåldern för samtycke för behandling av personuppgifter från barn blir 13 år, den lägsta möjliga nivån enligt GDPR. Utredningen föreslår också att myndigheter ska kunna tvingas betala administrativa sanktionsavgifter, något som medlemsländerna själva får besluta över enligt GDPR. Förslaget om dataskyddslagen är ute på remiss och mycket kan fortfarande ändras innan vi har en av riksdagen godkänd dataskyddslag.
Frågor inför GDPR
- Kan ni visa att ni har full koll på er personuppgiftshantering?
- Vet ni vilka personuppgifter som hanteras, för vem, för vilket ändamål och med hjälp av vilka leverantörer?
- Har ni tänkt igenom alla system där ni behandlar personuppgifter?
- Har ni dokumenterade rutiner och processer på plats för att säkerställa en korrekt hantering av personuppgifter?
- Har ni avtal på plats med personuppgiftsbiträden (exempelvis leverantörer)?
- Uppfyller ni kraven på informationsskyldighet till de personer vars uppgifter ni hanterar?
- Har ni gjort och dokumenterat konsekvensbedömningar för era produkter och tjänster?
Vet du inte riktigt var din organisation ska börja, eller har ni kört fast på vägen? EdmarLaw har omfattande erfarenhet av personuppgiftshantering och spetskompetens gällande GDPR och vägen till att vara compliant för företag och organisationer. Läs mer och kontakta oss här.
Informationsskyldighet
GDPR ställer väsentligt högre krav på den information som lämnas till den registrerade än vad som gäller idag. Informationen ska lämnas i samband med insamling av personuppgifterna. Den ska vara lättillgänglig och med ett klart och tydligt språk. Det bästa är att lämna informationen i en personuppgiftspolicy på webbsidan.
Den registrerade ska informeras om:
- den personuppgiftsansvariges identitet och kontaktuppgifter,
- ändamålen med behandlingen,
- den rättsliga grunden för behandlingen,
- vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.), och
- hur länge uppgifterna är tänkta att sparas.
Den registrerade ska också informeras om de rättigheter som ges i GDPR. Bland annat har den registrerade rätt att få tillgång till, ändra och radera sina personuppgifter. Den registrerade har också rätt att begära begränsning av viss behandling, rätt att flytta sina data till en annan leverantör (dataportabilitet), och rätt att när som helst återkalla ett eventuellt samtycke.
Registerutdrag
Som registrerad har man rätt att få veta om personuppgifter som rör en själv behandlas, och i så fall få ta del av de personuppgifterna. En sådan sammanställning måste innehålla information om vilka uppgifter som samlats in, vad syftet är, vilka som har tagit del av informationen, hur länge den ska sparas och den registrerades rättigheter enligt GDPR. Informationen måste sammanställas och lämnas till den registrerade inom 30 dagar från begäran.
EdmarLaw kan hjälpa till att upprätta din organisations personuppgiftspolicy så att den uppfyller GDPRs krav, eller se över er befintliga personuppgiftspolicy, liksom hjälpa till när ni får en begäran om registerutdrag. En personuppgiftspolicy ingår i vår abonnemangstjänst Data Protection Service, som du kan läsa mer om här.
Privacy by Design
Integritetsskydd ska genomsyra ett systems eller en tjänsts hela livscykel, från förstudie och kravställning till utveckling, användning och avveckling. Det är alltså avgörande att ta hänsyn till integritetsskyddet innan tid och pengar investeras i ett nytt IT-system eller en ny tjänst.
Privacy by design innebär inte bara en möjlighet att se till att IT-systemet eller tjänsten uppfyller kraven enligt GDPR, utan också en möjlighet att implementera andra juridiskt strategiska aspekter i utvecklingsarbetet. Inbyggt dataskydd kan också förenkla den manuella insatsen för att uppfylla GDPR. En välbyggd lösning med privacy by design-fokus kan exempelvis automatisera kraven på registerutdrag och på så sätt göra det möjligt med insyn för den registrerade.
EdmarLaw utbildar i och tar fram kommersiellt orienterade processer för Privacy by design. EdmarLaw biträder också med råd i samband med att ni utvecklar nya IT-system och tjänster.
Gallring och register
Rutiner för gallring av personuppgifter ställer höga krav på både IT-system och personal. EdmarLaw biträder vid upprättande av gallringsrutiner och ser även över IT-system och tjänster så att de uppfyller kraven på gallring m.m. Vi kan också bistå med att skapa och hålla ert register över personuppgiftsbehandlingar aktuellt. Registret kan visas för Datainspektionen i samband med en eventuell tillsyn eller presenteras för en potentiell investerare i samband med kapitalanskaffning.
Incidenthantering
EdmarLaw biträder med att skapa incidenthanteringsrutiner och att utbilda personalen, liksom att ta kontakt med Datainspektionen.
Personuppgiftsbiträden
1. Due diligence ur ett dataskyddsperspektiv
Först bör en due diligence göras av möjliga personuppgiftsbiträden. Det är lätt att glömma bort att väga in dataskyddsaspekter i samband med upphandling av IT-system och tjänster. Men med GDPR kan det stå dig dyrt. Innan personuppgifter delas med ett personuppgiftsbiträde är det viktigt att bl.a. ta reda på var personuppgifterna kommer att lagras, vilka som kommer ha tillgång till personuppgifterna och om leverantören använder sig av underleverantörer. Genom en due diligence kan man som personuppgiftsansvarig fatta ett informerat beslut vid valet av leverantör.
2. Personuppgiftsbiträdesavtalet
Genom ett personuppgiftsbiträdesavtal säkerställer parterna att personuppgifterna som delas hanteras enligt GDPR. Det ställs omfattande krav på vad ett personuppgiftsbiträdesavtal måste innehålla. EdmarLaw ser över befintliga personuppgiftsbiträdesavtal och biträder i samband med upprättande av nya. Vi säkerställer att ert personuppgiftsbiträdesavtal uppfyller kraven under GDPR samtidigt som avtalen är anpassade för det aktuella samarbetet.
3. Uppföljning
Den som är personuppgiftsansvarig bör också följa upp att personuppgiftsbiträdet faktiskt behandlar personuppgifterna i enlighet med instruktionerna i personuppgiftsbiträdesavtalet. Det kan man göra antingen genom ett besök hos personuppgiftsbiträdet, genom rapporter från personuppgiftsbiträdet eller genom löpande avstämning.
Det ställs många krav på den som är personuppgiftsansvarig. För att behandlingen av personuppgifter ska vara laglig krävs inte bara ett personuppgiftsbiträdesavtal. De registrerade måste också informeras, exempelvis i personuppgiftspolicyn, om att deras personuppgifter delas med personuppgiftsbiträden och vilka dessa biträden är. Information om personuppgiftsbiträden måste även dokumenteras i den personuppgiftsansvariges register över personuppgiftsbehandlingar. EdmarLaw kan assistera genom hela processen, från due diligence av personuppgiftsbiträden till upprättande av avtal och uppföljning.
Dataskyddsombud
Det är styrelsens och ledningsgruppens ansvar att se till att dataskyddsombudet har resurser och möjligheter att på ett objektivt sätt utföra sitt arbete. GDPR är tydlig med att dataskyddsombudet ska kunna arbeta fritt utan att riskera kritik i samband med kontroller av personuppgiftsbehandlingen. Det kan ändå vara svårt att som anställd komma med synpunkter som medför förseningar och kostnader för organisationen. Samtidigt som en anställd kan ha god inblick i organisationens verksamhet, kan den dra sig för att komma med impopulära invändningar. Därför kan det vara att föredra att anlita en extern konsult som dataskyddsombud.
Dataskyddsombudet ska involveras i alla frågor som rör skyddet av personuppgifter, samarbeta och samråda med tillsynsmyndigheten, samt informera och utbilda anställda i dataskydd.