I nära nog 20 år har personuppgiftslagen, PuL, styrt hur och vem som får hantera personuppgifter. Nu är de dagarna över. Från och med 25 maj 2018 är det GDPR – General data protection regulation – som slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person. För myndigheter, företag och organisationer kan detta komma att betyda en hel del förändringar.
Mest påtagliga blir förändringarna för de som inte sköter sig. Personuppgiftslagen har tidigare anklagats för att vara tandlös. Så väntas det inte bli med GDPR, eller dataskyddslagen som den kallas i Sverige. Om ett företag brister i sin behandling av personuppgifter kan de tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av deras globala omsättning. Den bedömningen gör i första hand tillsynsmyndigheten i varje land, för Sveriges del blir det Datainspektionen. Men det kommer också finnas en central dataskyddstyrelse i EU som tar fram riktlinjer och fattar beslut om tolkningar.
Hur sanktionsavgifterna ser ut för myndigheter och den offentliga sektorn är upp till varje medlemsland att avgöra. I Sverige finns ett förslag på att de ska ligga på mellan 10 och 20 miljoner kronor. Belopp som är jämföra bara för brott mot miljö- och arbetsmarknadslagar.
Individen får starkare rättigheter
Syftet med den nya lagstiftningen är dels att få till en harmonisering mellan EU:s medlemsstater. Dataskyddsdirektivet från 1995 utgjorde visserligen en gemensam grund inom unionen, men som direktiv var det upp till varje land att implementera regelverket och tolka det. Nu är det samma lagtext oavsett vilket EU-land man befinner sig i.
Samtidigt har det legat mycket fokus på ett ökat integritetsskydd. Medborgarnas rättigheter kommer att stärkas. Kraven på att företag och andra organisationer ska informera hur de hanterar uppgifter, vilka uppgifter och varför, de stärks. Det ska också gå att under vissa omständigheter gå att säga nej till att personuppgifterna används. Till exempel blir det lättare att slippa direktreklam.
I det ökade medborgarskyddet ingår också rätten att bli glömd. Alltså den chans en person har att begära att få uppgifter på sökmotorer bortplockad. För det krävs att sökresultatet är oriktigt, irrelevant, eller överflödigt.
Håll koll på vilken information ni har och varför
Störst förändring blir det dock för de som hanterar uppgifterna. Det är däremot bra att ha bakhuvudet att många av de krav som dataskyddsförordningen medför redan finns i personuppgiftslagen. Till viss del är GDPR bara en uppdatering och skärpning av PuL. Men några saker är viktiga att ha med sig.
Framför allt gäller det att ha koll på informationen. I förordningen finns något som kallas privacy by default vilket i korthet betyder att ni måste känna er data, och de system som hanterar informationen. Det är inte heller något som företaget kan lägga över på en it-leverantör. Varje organisation måste själva ställa sig en rad frågor, och hitta svaren i god tid innan 25 maj nästa år. Varför har ni behöver ni precis de här uppgifterna, hur samlas de in och vem har tillgång till dem. Ni bör göra en riskbedömning.
Dataskyddsförordningen gör gällande att den personuppgiftsansvarige måste visa att förordningen följs. Det kommer troligen betyda krav på ökad dokumentation. En personuppgiftsansvarig är en juridisk person, alltså inte en enskild person. Samma sak gäller som man har ett personuppgiftsbiträde. En nyhet är däremot införandet av ett dataskyddsombud. En person som har särskilt ansvar för att se till att reglerna efterföljs och som bevakar dataskyddsfrågor. Det gäller för de som hanterar särskilt känsliga uppgifter. Eller om det innebär en kartläggning av enskilda människors beteende.
Missbruksregeln ryker
I Sverige har vi tidigare haft en förenkling av personuppgiftslagen. Har man behandlat personuppgifter i löpande text och enklare listor har den hanteringen kunnat göras med stöd i missbruksregeln. Det har gjort det möjligt att hantera personuppgifter så länge det inte är kränkande för någon. Den regeln försvinner helt och hållet i och med den nya lagen.
Krav på rapportering vid dataintrång
Dataintrång har dessvärre blivit något som företag och myndigheter måste vänja sig vid. Det gäller att göra vad man kan för att skydda sin it-miljö. Men precis som i den fysiska världen ligger inte sällan tjuven ett steg före. Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta nu rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själva begått ett misstag. Även de vars uppgifter läckt ut måste informeras inom 72 timmar.
Vägen hit
Arbetet med nya regler för dataskydd har pågått under ett flertal år. 2012 kom det första utkastet till förslag. Därefter har det vandrat genom unionens byråkratiska system, mellan utskott och beslutsfattare, mellan EU-kommissionen, de folkvalda och medlemsstaterna. 4 maj förra året publicerades det slutgiltiga förslaget.
Det har inte varit en lätt resa, 28 medlemsländer med delvis olika syn på var ansvaret ska ligga och hur den administrativa bördan bör fördelas. Ja, till och med exakt vad som utgör en personuppgift har diskuterats.
Det kommer att ta tid till det finns en praxis att följa. Den centrala dataskyddsstyrelsen i EU kommer ta fram tolkningar, säger Martin Brinnen, jurist på Datainspektionen. Men det kommer troligen bli ett och annat rättsfall att vänta i EU-domstolen. Tre till fyra år kan det ta innan en mer exakt bild är på plats av hur GDPR ska tolkas. Till dess är det viktigt att följa utvecklingen, ta reda på vad som gäller och säkra upp i de egna systemen. Och det är ett arbete som måste göras nu. Datainspektionens och juristernas råd är att kontakta experterna, utbildning och ett aktivt säkerhetstänk. 25 maj 2018 är blott ett år borta.
Källa; https://cio.idg.se/2.1782/1.674864/gdpr-konsekvenser-utvecklare