Nya regler om personuppgiftsbehandling från 2018

10 november, 2016

Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Förordningen kallas på svenska ”allmän dataskyddsförordning”. Förordningen antogs i april 2016 av Europaparlamentet och EU:s ministerråd efter fyra års förhandlingar. Det ursprungliga förslaget till förordningen lades fram av EU-kommissionen 2012.

 

Det är viktigt att ni redan nu börjar planera hur ni ska anpassa er till dataskyddsförordningen och söker stöd från nyckelpersoner i er organisation. Ni kan till exempel behöva införa nya rutiner för att tillmötesgå dataskyddsförordningens utökade krav på öppenhet och de registrerades rättigheter. I större organisationer kan detta få stor påverkan i frågor om budget, it-system, personal, styrning och kommunikation.

 

Dataskyddsförordningen lägger stor vikt vid den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs, vilket kan medföra krav på ökad dokumentation. Det kommer att införas möjligheter för tillsynsmyndigheten att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning när en organisation missköter sin behandling av personuppgifter.

 

Datainspektionen har tagit fram två vägledningar som tar upp viktiga frågor som personuppgiftsansvariga och personuppgiftsbiträden bör ta ställning till redan nu för att förbereda sig den nya dataskyddsförordningen.

 
Vägledningen Förberedelser för personuppgiftsansvariga


Vägledningen Förberedelser för personuppgiftsbiträden

 

Här är några av de viktigaste förändringarna för personuppgiftsbiträden:

Föra register
Ni ska föra ett register över alla kategorier av behandling som utförs för den personuppgiftsansvariges räkning. Registret ska bland annat omfatta namn och kontaktuppgifter för personuppgiftsbiträdet och den personuppgiftsansvarige, vilka kategorier av behandling som utförs för varje personuppgiftsansvariges räkning samt information om tredjelandsöverföring och säkerhetsåtgärder. Det finns vissa undantag från denna skyldighet för mindre företag.

 

Ansvar vid anlitande av ett underbiträde
Om ni vill anlita ett annat personuppgiftsbiträde måste ni ha ett skriftligt förhandstillstånd från den personuppgiftsansvarige. Har ni fått ett generellt tillstånd att anlita underbiträden måste ni ändå informera den personuppgiftsansvarige om era planer på att anlita ett nytt biträde, så att den ansvarige kan göra invändningar mot detta.

När ni anlitar ett underbiträde måste ni teckna avtal som gör att biträdet omfattas av samma skyldigheter som ni har gentemot den personuppgiftsansvarige. Om det andra biträdet inte fullgör sina skyldigheter kommer ni enligt förordningen att vara fullt ansvarig gentemot den personuppgiftsansvarige för att dessa skyldigheter utförs.

 

Utse dataskyddsombud
Ni är i vissa fall skyldiga att utse ett dataskyddsombud (motsvarande personuppgiftsombud i personuppgiftslagen). Skyldigheten att utse dataskyddsombud omfattar bland annat offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. En särskilt integritetskänslig behandling kan därför komma att kräva att dataskyddsombud utses både hos den personuppgiftsansvarige och hos personuppgiftsbiträdet.

Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt.

 

Samarbeta med tillsynsmyndigheten
Ni har en uttrycklig skyldighet att på begäran samarbeta med tillsynsmyndigheten (Datainspektionen i Sverige).

 

Ansvar för att vidta säkerhetsåtgärder
Ni har ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån för er behandling är tillräcklig. Det kan bland annat medföra att ni behöver fundera över frågor som pseudonymisering och kryptering av personuppgifter, hur ni säkerställer att era system är tillräckligt säkra och motståndskraftiga samt hur ni fortlöpande testar och utvärderar systemen.

Vilka åtgärder som är nödvändiga beror på vilka särskilda risker som finns med er behandling. Ni behöver till exempel ha ett starkare skydd om ni behandlar känsliga personuppgifter, såsom uppgifter som rör hälsa eller religiös övertygelse.

Det bör även nämnas att personuppgiftsbiträdets utökade ansvar inte medför att den personuppgiftsansvariges eget ansvar minskar. Ansvaret för att se till att säkerheten kring de personuppgifter som behandlas är tillräcklig kommer att ligga på både den personuppgiftsansvarige och personuppgiftsbiträdet.

Omgående underrätta den personuppgiftsansvarige om personuppgiftsincidenter
Om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar, en så kallad personuppgiftsincident, måste ni utan onödigt dröjsmål underrätta den personuppgiftsansvarige om detta. Det kan vara bra att bestämma var i er organisation en sådan rapporteringsskyldighet ska ligga eftersom ni, om en personuppgiftsincident inträffar, måste agera skyndsamt.

 

Bistå den personuppgiftsansvarige
Ni har även en mer allmän skyldighet att bistå den personuppgiftsansvarige när denne ska fullgöra sina skyldigheter enligt förordningen. Ni ska bland annat hjälpa till med att svara på begäranden om elektroniska registerutdrag, och att bistå den personuppgiftsansvarige för att se till att säkerheten för behandlingen är tillräcklig.

 

Informationen kommer från Datainspektionen.

För frågor eller information, kontakta Altea AB.