AMES 1
VARFÖR BÖR GDPR STÅ PÅ LEDNINGENS AGENDA? GDPR st
äller även krav på att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Den 25 Maj 2018 träder den nya dataskyddsförordningen (GDPR) i kraft och kommer att gälla som lag i hela EU. Förordningen ersätter den nuvarande personuppgiftslagen och ställer nya krav när det gäller behandling av personuppgifter. Vad bör organisationer tänka på när det gäller efterlevnaden av GDPR? GDPR STÄLLER KRAV PÅ BEHANDLINGEN av personuppgifter. En personuppgift kan vara vilken information som helst som direkt eller indirekt kan identifiera en individ. Namn, telefonnummer, mailadress och personnummer är typiska exempel på personuppgifter, men beroende på kontext kan personuppgifter vara i princip vad som helst, såsom vilken bil någon kör, vart någon arbetar, hur lång en person är eller vilken hårfärg en person har. När en aktör använder en individs personuppgifter behandlar denne personuppgifter och individen blir en registrerad. Aktören i sin tur blir personuppgiftsansvarig och ansvarar för att behandlingen av personuppgifterna är laglig. Syftet med dataskyddslagstiftningen är just att säkerställa att personuppgifter behandlas på rätt sätt så att den personliga integriteten bevaras och skyddas. IDAG REGLERAS BEHANDLINGEN av personuppgifter av personuppgiftslagen (PUL). GDPR kommer ersätta PUL, men ska ses som en förlängning och vidareutveckling av redan existerande regler. Liksom PUL ställer GDPR till exempel. krav på att all personuppgiftsbehandling måste ske för specifika, avgränsade och berättigade ändamål samt att all personuppgiftsbehandling måste ha en rättslig grund för att vara laglig. Om en organisation i dag efterlever reglerna i PUL har den alltså redan uppfyllt mycket i den nya förordningen. 24 MEN VILKA NYA REGLER tillkommer då genom GDPR? Generellt så stärker GDPR dataskyddsrättigheterna för de registrerade och ökar ansvaret för den personuppgiftsansvarige. De registrerade får t.ex. en starkare rätt att begära radering av sina personuppgifter och att göra invändningar mot personuppgiftsbehandlingar. GDPR skapar även en helt ny dataskyddsrättighet i form av dataportabilitet. Den innebär att en person som är registrerad, under vissa förutsättningar, har rätt att få sina personuppgifter överförda från en personuppgiftsansvarig till sig själv eller till en annan personuppgiftsansvarig. För den enskilde möjliggör detta t.ex. byte av en mail-leverantör eller av en social nätverkstjänst till en annan utan att förlora data. GDPR STÄLLER ÄVEN KRAV på att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Detta krav, som kan framstå som stort och tidskrävande, handlar om informationssäkerhet och innebär krav på att personuppgifterna skyddas med avseende på konfidentialitet, riktighet och tillgänglighet. Ett systematiskt informationssäkerhetsarbete handlar om att utvärdera och identifiera vilken personuppgiftsbehandling som genomförs. Skyddsbehovet och riskerna förknippade med verksamheten ska identifieras och analyseras för att utifrån detta uppskatta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Finns redan ett systematiskt informationssäkerhetsarbete i organisationen kan skyddsbehovet som tillkommer genom GDPR relativt enkelt tillföras detta arbete. Om det inte gör det, kan GDPR vara en bra hävstång för att få igång ett sådant arbete. FRÅN ETT EFTERLEVNADS-PERSPEKTIV innebär GDPR också stora förändringar. Personuppgiftsansvariga har ett mycket större ansvar att både faktiskt säkerställa lagligheten i personuppgiftsbehandlingen och att uttryckligen kunna visa att behandlingen är laglig. Detta gäller såväl de rent juridiska kraven som kravet på tekniska säkerhetsåtgärder. Genom GDPR införs en möjlighet till certifiering och anslutning till uppförandekodex som är två möjligheter för den personuppgiftsansvariga att visa att organisationen följer regelverket i GDPR. OM REGLERNA INTE FÖLJS kan dryga sanktionsavgifter utdömas uppgående till maximalt 20 000 000 euro eller, för privata organisationer, 4 % av den årliga omsättningen. Kommer då Datainspektionen och knackar på dörren den 25 maj med hot om sanktionsavgifter? Troligen inte och Datainspektionen har i vilket fall också ett pedagogiskt uppdrag att assistera organisationer utöver att kontrollera dem. Med det sagt, när GDPR träder i kraft 25 maj 2018 har varje organisation en skyldighet att efterleva kraven vid behandling av personuppgifter. Om det i dagsläget saknas ett systematiskt informationssäkerhetsarbete och det heller inte har gjorts ett arbete enligt PUL så bör det vara något att ta upp på nästa ledningsmöte.