Dataskyddsförordningen ”General Data Protection Regulation” (GDPR)

29 mars 2017

Decuria AB har gjort en kort sammanfattning av vad GDPR innebär för din organisation.

Vad är det?

Det är EU:s nya dataskyddslag för personuppgifter, en förordning som jämställs med en nationell lag inom hela EU.

När träder den i kraft?

Den träder i kraft den 25e maj 2018

Hur påverkar den dig?

Den innebär att alla regler från PuL (Personuppgiftslagen) finns kvar utom anmälningsplikten om att man hanterar personuppgifter och bl.a. följande regler tillkommer:

✔ Obligatorisk rapportering vid integritetsbrott inom 72 timmar.
✔ Om din organisation hanterar en stor mängd känsliga personuppgifter så behöver du tillsätta
en ny roll, ”Data Protection Officer”.
✔ Du måste ha uppdaterade policys, riskanalyser och processer samt dokumentation som
styrker att GDPR följs. Tillsynsmyndigheten (Datainspektionen) kan när som helst begära ut
dessa.
✔ Integritetsskydd skall byggas in från början i nya processer och system.
✔ Utökade rättigheter för individer att, ta del av den registrerade informationen, korrigera informationen eller begära informationen tas bort.
✔ Rättighet för individer att utkräva skadestånd.

Vilket ”data” avses?

GDPR gäller för alla personuppgifter som entydigt kan kopplas till en individ, gäller både för
strukturerat (register) och ostrukturerat (t.ex. löpande text, ljud, bild) data.

Vad händer om ni inte uppfyller GDPR?

Det är alltid din organisation som är ansvarig, oavsett om du använder dig av tjänsteleverantörer. Om din organisation inte uppfyller GDPR så kan ni få böter med upp till 20 miljoner € eller 4% av moderbolagets omsättning.

Vem är ansvarig?

Styrelsen eller koncernledningen har det yttersta ansvaret.

Vad ska ni göra?

1. Kartläggning: Vilka personuppgifter hanterar din organisation, hur och varför?
2. Riskanalys: Vilka risker finns och vilka skador kan de orsaka?
3. Rådfråga: Vilka intressenter behöver du rådfråga?
4. Design: Hur kan du bygga in integritetsskydd i dina processer och system?
5. Dokumentation: Hur kan du bevisa att du uppfyller kraven?
6. Incident: Hur ska du hantera incidenter, problem och klagomål? Ta fram planer.
7. Rättigheter: Hur ska du säkerställa kunders och anställdas rättigheter och tillsyn?
8. Hantera: Tillsätt en ”Data Protection Officer” om ni hanterar personlig information.
9. Certifiering: Genomför certifiering i GDPR och använd ”det europeiska sigillet för dataskydd”
i er marknadsföring.

Mer information hittar du på länkarna nedan:

http://www.datainspektionen.se/Documents/vagledning-forberedelser- pua.pdf
http://www.datainspektionen.se/fragor-och- svar/eus-dataskyddsreform/allmanna- fragor/#A1a

Starta arbetet nu!

Det är nu ca 14 månader kvar innan GDPR börjar gälla för alla EU länder. Påbörja kartläggning och riskanalys nu så att du hinner implementera nödvändiga förändringar. Kontakta oss så hjälper vi er att komma igång.

Mats Persson, Decuria