Dataskyddsförordningen ersätter personuppgiftslagen

Publicerad: 2 maj 2017

EU:s nya dataskyddsförordning syftar till att skapa enhetliga dataskyddsregler inom EU och innebär en del förändringar för företag som samlar in, behandlar och lagrar personuppgifter – bland annat ställs ökade krav på inhämtning av samtycke, dokumentation och säkerhet.

Dataskyddsförordningen kommer att gälla för alla som behandlar personuppgifter – både personuppgiftsansvariga och personuppgiftsbiträden. Personuppgiftsansvarig är, enligt förordningen, de företag eller myndigheter som använder, behandlar eller lagrar personuppgifter i sin verksamhet. Personuppgiftsbiträden är de aktörer som behandlar personuppgifter på uppdrag av ett företag eller en myndighet – exempelvis konsulter, servicebyråer eller företag som tillhandahåller molntjänster. Personuppgiftsbiträdet är skyldigt att behandla personuppgifterna enligt direktiv från den personuppgiftsansvarige. De företag som inte följer regelverket riskerar böter på upp till 4 % av företagets omsättning.

Vilka områden är särskilt viktiga att se över inför införandet av dataskyddsförordningen?

Identifiera och förbered

De allra flesta företag behandlar personuppgifter – alltså uppgifter som kan hänföras till en fysisk person. Det kan exempelvis röra sig om kund- och personalregister, faktureringsuppgifter, fotografier som finns på hemsidan eller information om namn, personnummer och kontaktuppgifter. Enligt den nya dataskyddsförordningen måste företag kunna redogöra för vilka personuppgifter de hanterar och varför – det måste även framgå hur de hanteras och vem som har tillgång till dem. Därför är det essentiellt att redan nu identifiera vilka personuppgifter som sparas och varför – samt vem som har tillgång till dem.

Samtycke och dokumentation

I likhet med personuppgiftslagen ställer dataskyddsförordningen krav på att personuppgifter ska behandlas med stöd av samtycke. Enligt dataskyddsförordningen måste företag och organisationer även kunna uppvisa hur samtycket har inhämtats och det måste otvetydigt framgå att den registrerade godkänner behandlingen av personuppgifterna – tyst samtycke godtas inte. Den nya dataskyddsförordningen kommer även innefatta krav på godkännande för samtliga ändamål som personuppgifterna används till. Skapa därför redan nu arbetssätt för samtyckesinhämtning och rutiner för dokumentation.

Rätt rutiner och skyddsåtgärder för lagringen

Dataskyddsförordningen innehåller nya regler för vad företag och organisationer ska göra om de tappar kontrollen över lagrade personuppgifter vid exempelvis dataintrång eller informationsläckage. Personuppgiftsansvariga är skyldiga att anmäla incidenter så som informationsläckage och dataintrång inom 72 timmar. För att kunna leva upp till förordningens skyldigheter och göra en sådan anmälan i rätt tid är det viktigt att det finns rutiner för att identifiera, rapportera och utreda eventuella personuppgiftsincidenter. Därför är det viktigt att redan nu ta fram rutiner för säker lagring av personuppgifter i den egna verksamheten och göra en analys kring eventuella integritetsrisker.

Viktig läsning

Regeringen har gett Datainspektionen i uppdrag att informera om dataskyddsförordningen och vad den innebär. På Datainspektionens hemsida finns en förteckning över förberedelser för personuppgiftsansvariga och personuppgiftsbiträden inför tillämpningen av dataskyddsförordningen.

Här hittar du mer viktig information om dataskyddsförordningen.


Bli medlem i Sveriges största nätverk för kommunikatörer och träffa 7 400 kollegor. Du får tillgång till våra kostnadsfria event för medlemmar, rabatt på kompetensutveckling och får ta del av det senaste inom vår bransch. Du hjälper även till och stöttar svensk kommunikationsforskning.

Juridik/ Content
loader
Laddar