Datalag

En ny datalag kommer att träda i kraft 1 januari 2018. Datainspektionen har tagit fram en checklista som ett stöd till företag och andra organisationer som nu måste förbereda sig för den EU-förordning om dataskydd som ersätter personuppgiftslagen. Om två år ska EU:s dataskyddsförordning börja tillämpas i Sverige och de andra medlemsländerna. Förordningen gäller direkt som svensk lag Det får stora konsekvenser för företag och andra organisationer som samlar in och använder personuppgifter.

Förordningen har likheter med den nuvarande personuppgiftslagen men innehåller också stora skillnader.
Här kommer ett sammandrag av den checklista som Datainspektionen gjort.

  1. Är er organisation medveten om EU:s nya dataskyddsförordning?
    Ni kan behöva avsätta betydande resurser för att hinna anpassa er organisation till de nya kraven innan dataskyddsförordningen ska börja tillämpas i mitten av 2018. Inledningsvis bör ni särskilt fokusera på att öka medvetenheten om de kommande förändringarna.

  2. Vilka personuppgifter hanterar ni?
    Ni bör inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Om ni till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, behöver ni informera mottagaren om detta så att denne i sin tur kan rätta sina egna register.

  3. Använder ni missbruksregeln idag?
    Ni bör undersöka om ni i er verksamhet har utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Denna regel kommer inte att finnas kvar i förordningen. Behandling i ostrukturerat material, till exempel löpande text på internet, är enligt personuppgiftslagen tillåten så länge behandlingen inte utgör en kränkning av den registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner denna svenska särreglering. Förordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter.

  4. Vilken information lämnar ni?
    Ni bör granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra. När ni samlar in personuppgifter måste ni enligt personuppgiftslagen lämna viss information, till exempel om er identitet och ändamålet med behandlingen.

  5. Hur ska ni tillmötesgå de registrerades rättigheter?
    De viktigaste rättigheterna för de registrerade är att :
    – Få tillgång till sina personuppgifter „
    – Få felaktiga personuppgifter rättade „
    – Få sina personuppgifter raderade „
    – Invända mot att personuppgifterna används för direktmarknadsfö- ring „
    – Invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering „ flytta personuppgifterna (dataportabilitet)

  6. Med vilket rättligt stöd behandlar ni personuppgifter?
    Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser. De rättsliga grunderna för behandling av personuppgifter är i stort sett oförändrade.

  7. Hur inhämtar ni samtycke?
    Ni bör undersöka på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade. Ett giltigt samtycke enligt dataskyddsförordningen har samma innebörd som i personuppgiftslagen. Det måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne.

  8. Behandlar ni personuppgifter om barn?
    Ni bör redan nu fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online. Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Kort sagt, om ni erbjuder den typen av tjänster till barn måste ni inhämta vårdnadshavares samtycke för att få behandla barnets uppgifter.

  9. Vad ska ni göra vid personuppgiftsincidenter?
    Ni bör se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Dataskyddsförordningen innehåller nya bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser.

  10. Vilka särskilda integritetsrisker finns med er behandling?
    Ni bör fundera på om er personuppgiftsbehandling är förenad med särskilda risker för enskildas fri- och rättigheter och om ni i så fall måste göra en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen.

  11. Har ni byggt in skydd för personuppgifter i era it-system?
    Ni bör redan nu ta hänsyn till dataskyddsförordningens regler när ni tar fram nya it-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.

  12. Har ni verksamhet i flera länder?
    Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.

Det var en hel del att tänka på som du ser och då var detta bara en sammanfattning. Det är hur som helst nödvändigt att känna till dessa nya regler som kommer att gälla från 2018.
Läs mer om nya datalagen på datainspektionen.

Dela

Hör av dig till oss

Tveka inte att höra av dig till oss om du har frågor om din IT-miljö.

Besök vår webbshop

I vår webbshop kan du köpa allt från kompletta datorer till switchar

Till vår webbshop
°C
Det är just nu °C i Piteå.
Detta betyder att vi använder
% naturlig kyla för att kyla våra anläggningar.