Eu har beslutat om en ny förordning (Dataskyddsförordningen) som börjar gälla 25 maj 2018. Här i Sverige kommer GDPR eller Allmänna dataskyddsförordningen att ersätta nuvarande Personuppgiftslagen (1998:204) (PUL). Mycket av det som täcks av dagens personuppgiftslag kommer också att gälla när dataskyddsförordningen träder i kraft, men det finns också en del nyheter.
Om ni har de här registren eller personuppgifter på något sätt kopplade till er webbplats, till exempel genom en inloggningstjänst behöver ni se över era system och kontrollera att er webbbyrå eller leverantör har koll på de nya reglerna. Det kan till exempel gälla personers rättigheter att få sina personuppgifter raderade från era system.
Personuppgifter i löpande text
Om ni idag utnyttjar det som kallas för missbruksregeln, det vill säga publicerar icke kränkande personuppgifter i ostrukturerat material, till exempel i löpande text på nätet, måste ni se upp och undersöka vad som kommer att gälla för er i framtiden. Vad har ni för förutsättningar för att hantera de personuppgifterna så att ni inte bryter mot den nya förordningen? Hur uppfyller ni de grundläggande kraven och informerar ni på rätt sätt? Missbruksregeln försvinner 25 maj 2018 och har ingen motsvarighet i dataskyddsförordningen.
Vad är en personuppgift?
All information som direkt eller indirekt går att koppla till en enskild fysisk person är personuppgifter. Det kan gälla:
- Namn, adress, e-postadress och andra kontaktuppgifter
- Bilder och ljudupptagningar
- IP-nummer
- Anställningsnummer
- Personnummer
En indirekt personuppgift är något som inte kan knytas till en enskild person direkt, men som ändå berättar något om en person, till exempel ett ovanligt efternamn.
Nya regler ersätter personuppgiftslagen PUL
Mycket i den nya dataskyddsförordningen är likt de regler som finns i PUL, till exempel att man måste få ett samtycke från personen för att få behandla personuppgifter, men det finns också några nyheter såsom:
- Personen som är registrerad har en rad rättigheter som ni måste kunna uppfylla. Det gäller till exempel att ge en enskild person tillgång till sina uppgifter, rätt att få felaktiga personuppgifter rättade eller raderade och ges möjlighet att flytta personuppgifterna till en annan tjänst.
- Om det sker ett dataintrång eller någon annan incident som påverkar säkerheten måste ni anmäla det till Datainspektionen inom 72 timmar. Och eventuellt även meddela de registrerade om vad som hänt.
- En del organisationer och myndigheter måste ha en person som har till uppgift att hålla koll på frågor kring dataskydd, ett så kallat dataskyddsombud.
- Det införs en sanktionsavgift eller straff för de som bryter mot förordningens regler. Straffet kan bli upp till fyra procent av er årsomsättning eller 20 miljoner euro (som mest) för riktigt grova brott mot förordningen.
Har du frågor eller funderingar kontakta Patrik Hassel.