28 juni 2017

Fem viktiga nyheter i GDPR – den nya dataskyddsförordningen

1. Den enskildes rättigheter förstärks på en rad punkter, t ex:

Samtycket: Samtycket ska vara tydligare, lätt att hitta och skrivet på ett lättbegripligt språk. Observera att en förifylld ruta för samtycke inte räcker.

Information: De registrerade ska få mycket mer information om behandlingen av personuppgifter än tidigare, vilket innebär att de allra flesta personuppgiftsansvariga måste skriva om sina informationstexter till både kunder och anställda.

Rätt att bli glömd: Om det inte finns legitima skäl att spara personuppgifter ska den registrerade kunna begära att de raderas.

Rätt till dataportabilitet: En registrerad har rätt att få tillgång till sina personuppgifter på ett IT-medium och att flytta dem från en personuppgiftsansvarig till en annan (när det är tekniskt möjligt).

2. Missbruksregeln försvinner

Idag omfattas inte viss ostrukturerad behandling av personuppgifter, till exempel i löpande text, av personuppgiftslagen, vilket innebär att så kallad vardaglig behandling av ostrukturerat material får göras fritt så länge man inte kränker den vars personuppgifter behandlas. Denna regel kallas missbruksregeln. GDPR gör dock inget undantag för ostrukturerat material, vilket medför att även behandling av personuppgifter i löpande text omfattas, såsom exempelvis enkla worddokument med löpande text som lagras på den egna hårddisken, eller e-post. En bedömning av risknivån för personuppgifterna kan dock göras. Lägre risknivå ställer lägre krav på säkerhetsåtgärderna som vidtas för att skydda dem.

3. Skyldighet att kunna visa efterlevnad av förordningen (accountability)

GDPR ställer större krav på att den personuppgiftsansvariga kan visa och bevisa att den följer den nya dataskyddsförordningen. Det kräver att den personuppgiftsansvariga tar kontroll över behandlingen av personuppgifter genom att göra en kartläggning och nulägesanalys (ska kunna visas upp på anmodan) samt en juridisk utvärdering, 
gap-analys och åtgärdsplaner. Utöver detta bör en dataskyddspolicy och strategidokument utformas och implementeras i organisationen.

4. Sanktionsavgifter

GDPR fastställer att sanktionsavgifter kan påföras upp till 20 miljoner EUR eller 4 % av den totala globala årsomsättningen. Denna nya regel har införts för att föra upp dataskyddet på agendan i alla ledningsgrupper och styrelser. Även felaktigheter som finns innan maj 2018 och inte rättats till innan dess, kan innebära sanktioner.

5. Personuppgiftsbiträdet blir tillsynsobjekt och kravet på biträdesavtalen ökar väsentligt

Den personuppgiftsansvariga får endast anlita personuppgiftsbiträden som uppfyller kraven i den nya förordningen. Förutom det påverkas personuppgiftsbiträden bland annat på följande sätt:

Det blir solidariskt skadeståndsansvarig med den personuppgiftsansvariga

Personuppgiftsbiträdet måste föra en förteckning över den behandling som det utför för en personuppgiftsansvarigs räkning.

Personuppgiftsbiträdet har en skyldighet att informera den personuppgiftsansvariga om eventuella underbiträden och ska också ha kundernas godkännande om man vill göra förändringar

Kan drabbas av sanktionsavgifter och förelägganden från Datainspektionen

Kan behöva revidera sina tjänstevillkor eftersom kraven på hur biträdesavtalet ska se ut utökas

Behöver se över systemen så att de uppfyller kraven på ”privacy by design” och ”privacy by default”

Både personuppgiftsansvariga och personuppgiftsbiträden måste se över sina biträdesavtal. GDPR ställer mycket högre krav på dem än tidigare lagstiftning, Eftersom konsekvenserna av att göra fel blir så mycket större framöver, är det viktigt att reglera de avtalsrättsliga frågorna också. Reglera till exempel tvistelösning, regressrätt och uppsägning.