Är du redo för GDPR?

10 viktiga punkter att hålla koll på.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?
Är du redo för GDPR?

I maj 2016 utfärdade EU en allmän dataskyddsförordning. Den nya förordningen träder i kraft i maj 2018 och medför nya operativa krav för företag som behandlar personuppgifter.

Eftersom definitionen av personuppgifter är så omfattande berörs i princip alla företag av den nya förordningen. Med endast lite drygt ett år kvar till dess att dataskyddsförordningen träder i kraft har vi samlat tio punkter som hjälper dig att förbereda dig på bästa sätt.


1. Visa att du följer bestämmelserna
Den nya förordningen kräver att de som för register över personuppgifter kan visa att de behandlar personuppgifterna i enlighet med förordningen.

I praktiken betyder detta att du måste föra ett register över den uppgiftsbehandling som du ansvarar för så att du kan påvisa att den överensstämmer med bestämmelserna.

2. Samtycke
Om behandlingen av personuppgifter bygger på en persons samtycke, ska du även kunna påvisa samtycket.

Dessutom kommer kraven på samtycke att vara strängare i framtiden:

- Samtycke ska ges tydligt i skriftlig, elektronisk eller muntlig form.
- Av samtycket ska framgå att personen frivilligt, av egen vilja, medvetet och uttryckligen godkänt användningen av hans eller hennes personuppgifter.
- Vanligtvis sker detta genom att personen klickar i en märkruta för samtycke.

3. Rätt att bli bortglömd
Ett nytt ämne som den nya förordningen medför är registrerade personers rätt att bli bortglömda. I praktiken betyder detta rätten att få sina uppgifter raderade från databaser.

En situation där detta kan bli aktuellt är då en person återtar sitt samtycke till att du får använda hans eller hennes personuppgifter. Dock, om användningen av personuppgifterna bygger på annan rättslig grund, är du inte förpliktigad att radera uppgifterna.

Om du är förpliktigad att radera uppgifterna ska du informera alla parter som har tagit emot eller publicerat uppgifterna. Detta för att säkerställa att alla länkar, dubbelexemplar och kopior av materialet raderas.

4. Rätt att överföra uppgifter
För närvarande har alla rätt att erhålla sina egna uppgifter i ett maskinläsbart format och överföra dem till annan registerförare.

Denna rättighet gäller även personuppgifter som personen har överlåtit till dig genom samtycke eller ett avtal. Denna skyldighet förpliktigar dock inte dig att godkänna eller upprätthålla tekniskt kompatibla uppgiftsbehandlingssystem.

5. Förbud mot profilering
Alla har rätt att inte vara föremål för beslut som baserar sig på automatisk databehandling och som kan påverka personen på ett rättsligt eller annars betydande sätt. Med andra ord betyder detta att du inte utifrån en automatisk databehandlingsprocess får fatta viktiga beslut om en person.

Undantag till detta ”profileringsförbud” är beslut som är nödvändiga för att slutföra ett avtal mellan personen och ditt företag. Ett vanligt exempel är beslut om kredit. Dessa beslut bygger ofta på automatiserade klassificeringssystem och beslutsrekommendationer.

6. Överträdelser av uppgiftssäkerheten
I framtiden är du skyldig att informera myndigheter och registrerade personer om överträdelser av uppgiftssäkerheten. Detta gäller situationer där en persons rättig- och friheter överträds. Ifall detta sker ska du vidta följande åtgärder:

- Meddela myndigheterna om överträdelsen inom 72 timmar.
- Informera alla personer som berörs av överträdelsen så snart det är sannolikt att säkerheten äventyrar deras rättig- och friheter.

I syfte att uppfylla dessa krav är det viktigt att du utarbetar interna instruktioner och förfaranden för att säkerställa att behandlingen sker på ett effektivt och korrekt sätt.

7. Informera om databehandlingen
Företag världen över samlar i dag in mer personuppgifter än någonsin tidigare. För att uppfylla kraven i EU-förordningen är du skyldig att lämna ut mer information om databehandlingen än vad som tidigare krävts.

Detta betyder att du måste uppge förvaringstiden för personuppgifter. Eller, om detta inte är möjligt, kriterierna som används för att bestämma förvaringstiden.
I praktiken betyder det till exempel att du ska uppdaterar registret och dokumenten om uppgiftssäkerheten samt fundera kring hur du i praktiken ska informera de registrerade personerna.

8. Utse en dataskyddsansvarig
I och med att allt större fokus placeras på dataskydd, kan du vara tvungen att tillsätta en dataskyddsansvarig för att behandla personuppgifterna. Till exempel är organisationer som behöver en dataskyddsansvarig företag som bedriver omfattande, regelbunden och systematisk övervakning av personer. 

9. Utkontraktering av behandling av personuppgifter kräver säkerhetsåtgärder
Om du har utkontrakterat delar av databehandlingen till tredje part och denna ska behandla personuppgifterna för din räkning, är du skyldig att vidta vissa åtgärder:

- Se till att lämpliga tekniska och organisatoriska skyddsåtgärder uppfyller kraven i bestämmelserna.
- Se till att registrerade personers rättigheter skyddas.

I praktiken betyder detta att du ska identifiera situationer som är lämpliga för utkontraktering och se till att alla avtal upprättas på korrekt sätt. Till exempel räknas lagring av uppgifter i molntjänster som utkontraktering, även om tjänsteproducenten inte aktivt behandlar uppgifterna.

10. Överträdelse kan leda till stora böter

Överträdelse av dataskyddsförordningen kan leda till dryga böter. Böterna kan uppgå till högst 20 miljoner euro eller 4 procent av ditt företags omsättning.