Övergång från Personuppgiftslag till Dataskyddsförordning DPA GDPR

Transkript

1 Övergång från Personuppgiftslag till Dataskyddsförordning DPA GDPR Roland Stilleborn JuraB Box Linköping E-post: Tel: Roland Stilleborn 2016

2 PuL Personuppgiftslagen övergår i GDPR Under 2018 (halvårsskiftet) övergår nuvarande regelverk för behandling av personuppgifter (PuL) till EU:s Dataskyddsförordning (DPA -> GDPR). Jag har fått en inbjudan från CGI att medverka vid kundträffen Utilities november för att presentera en konsekvensanalys med anledning av övergången, men kan tyvärr inte närvara då jag befinner mig i Afrika. JuraB kommer att satsa resurser på stöd för övergången till de nya regelverken i form av internutbildning under perioden november februari, enligt önskemål från våra kundföretag. Utbildningen består av tre moment: en genomlysning av nuvarande sätt att arbeta internt genomförd utbildning för alla personal konkreta instruktioner för vad som måste förändras, inkl textmallar Här följer en sammanställning över hur ett företag bör agera för att hantera konsekvenserna, som bör delges ALL personal i ert företag. Steg 1 Min bedömning är att den bästa vägen att förbereda sig inför förändringarna 2018, är att FÖRST säkerställa att organisationen uppfyller de nuvarande kraven i regelverken och som kan hanteras i nuvarande IT-stöd. Dokumentera sedan vilka krav som INTE klaras av idag med nuvarande funktioner i IT-stödet och med de processer (rutiner) som gäller idag. De krav som gäller idag och där uppfyllnaden inte hindras av brister i systemen, bör omedelbart införas i processen. Dessa krav följer nämligen med över i de nya regelverken, även om det på flera områden blir skärpningar. Bristerna som resterar ska dokumenteras. Med ovanstående så har företaget kommit en bit på väg för att ta sig an nästa steg, som blir översynen av IT-systemen för att skapa nya processer som är anpassade till Dataskyddsförordningens regelverk. Steg 2 Jämför ovanstående erfarenhet med andra aktörer i de nätverk som ni agerar inom. Det är i första hand den användargrupp som finns för det IT-system som ni idag arbetar med. När gruppen har dokumenterat skillnaden mellan uppfyllnaden ovan och kommande krav, kan den gå vidare i steg 3 Steg 3 Resultatet från 2 måste presenteras för IT-leverantören och då ska också en avstämning göras av hur långt denne själv har förberett processen att anpassa systemen till de nya regelverken. På det sättet kan ni få en avstämning över att målbilden de har överenstämmer med den ni har. Detta steg övergår sedan till framtagande av kravspecifikation och upphandling. Steg 4 Framtagande av kravspecifikation och inledande av upphandlingen. JuraB roland.stilleborn@jurab.se

3 PuL Personuppgiftslagen övergår i GDPR Avgörande för att lyckas är att företagen så snabbt som möjligt får ut rätt information i ALLA led i organisationen, så att medarbetarna kan reflektera över och notera vilka uppgifter man behandlar i sina arbetsuppgifter och kunna definiera vilka av dessa som utgör Personuppgifter. Med rätt kunskap kan då berörd personal bidra med konkreta förslag till hur deras egna arbetsprocesser och nuvarande rutiner MÅSTE förändras. Så många som möjligt i organisationen bör engageras för att tillföra sin kunskap om hur ni faktiskt arbetar i vardagen. Det går snabbare att fastställa behoven av förändringar om man sprider kunskap på gräsrotsnivå, så att dessa personer tillsammans kan ge en bra samlad bild och kanalisera detta till en nyckelperson i organisationen. Om man i stället försöker låta EN enda person sköta om denna inventering så är det säkert en grannlaga uppgift. Definition av de begrepp som används i nuvarande Personuppgiftslag (3 ) Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Den registrerade Den som en personuppgift avser. Mottagare Den till vilken personuppgifter lämnas ut för behandling. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den externa part som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Behandling (av Personuppgifter) Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Samtycke Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör denne. Blockering (av Personuppgifter) En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. JuraB roland.stilleborn@jurab.se

4 PuL Personuppgiftslagen övergår i GDPR Nuvarande krav i PuL som ska kvalitetssäkras snarast Nedan följer en sammanställning i 14 punkter över den reglering som finns i den nuvarande Personuppgiftlagen (hänvisning till aktuell paragraf i författningen). Varje punkt kommenteras och innehåller råd om hur uppfyllnaden kan uppnås. Rödmarkerad åtgärd måste normalt bevakas med egen åtgärd. Grönmarkerad åtgärd föranleder normalt ingen åtgärd om Allmänna avtalsvillkoren för Elnät eller Elhandel tillämpas av företaget. För övriga nyttigheter bör motsvarande tas in i egna SAV. 1. Det måste finnas ett samtycke till insamlingen och den kommande behandlingen av Personuppgifter (10 ). Samtycket kan när som helst återkallas (12 ) Kommentar: Ett samtycke kan erhållas på flera olika sätt. Det bästa sättet att dokumentera att det föreligger ett samtycke är att komplettera avtalet med egna Särskilda avtalsvillkor (nedan SAV), där det av en särskild punkt framgår att Kunden genom att ingå avtal med er, samtycker till insamlandet och behandlingen av de Personuppgifter som behövs för att fullgöra avtalet. Om ni inte tillämpar SAV kan informationen ges i en avtalsbekräftelse eller motsvarande. Det är tyvärr vanligt förekommande att Personuppgiftsansvarig både tar emot och behandlar personuppgifter UTAN ett samtycke. Vanliga situationer där ett samtycke saknas är då personuppgifter för inflyttande kund efterfrågas hos utflyttande kund. Det förekommer också att fastighetsägare i rollen som anläggningsägare meddelar personuppgifter på inflyttande hyresgäster, vilket medför att även här saknas ett samtycke. 2. En nödvändig behandling kan ej förhindras genom ett återkallande. Det kan t.ex. avse behandling för rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras (16, c). En registrerad har inte heller rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt Personuppgiftslagen (12 ). Kommentar: En Kund kan således INTE återkalla sitt samtycke för att t.ex. förhindra inkassoåtgärder eller motsvarande. 3. Kunden ska kunna motsätta sig behandling av Personuppgifterna för direkt marknadsföring (11 ). Kommentar: Genom att i avtalet hänvisa till att ni tillämpar branschens vid var tid gällande Allmänna avtalsvillkor, så är detta kommunicerat till Kunden. Av NÄT2012K (rev) och EL2012K (rev), punkten 1.4 framgår Kundens rätt att motsätta sig detta. För övriga nyttigheter bör motsvarande tas in i egna SAV. 4. Kunden ska ha information om behandlingen (23 ) Kommentar: Genom att i avtalet hänvisa till att ni tillämpar branschens vid var tid gällande Allmänna avtalsvillkor, så är detta kommunicerat till Kunden. Av NÄT2012K (rev) och EL2012K (rev), punkten 1.4 framgår Kundens rätt att motsätta sig detta. För övriga nyttigheter bör motsvarande tas in i egna SAV. 5. Kunden ska ha information om den Personuppgiftsansvariges identitet (25, a), Kommentar: Det bästa sättet att dokumentera detta är att komplettera avtalet med egna Särskilda avtalsvillkor (nedan SAV), där det av en särskild punkt framgår vem som är Personuppgiftsansvarig. Om ni inte tillämpar SAV kan informationen ges i en avtalsbekräftelse eller motsvarande. JuraB roland.stilleborn@jurab.se

5 PuL Personuppgiftslagen övergår i GDPR 6. Kunden ska ha information om ändamålen med behandlingen (25, b) Kommentar: Genom att i avtalet hänvisa till att ni tillämpar branschens vid var tid gällande Allmänna avtalsvillkor, så är detta kommunicerat till Kunden. Av NÄT2012K (rev) och EL2012K (rev), punkten 1.4 framgår detta. För övriga nyttigheter bör motsvarande tas in i egna SAV. 7. Kunden ska ha uppgift om mottagaren av Personuppgifterna inte själv är Personuppgiftsansvarig och till vem uppgifterna kommer att överlämnas (25, c). Kommentar: Denna regleringen gäller inte PRODAT-hanteringen mellan Elnäts- och Elhandelsföretagen då den regleras särskilt i lag och föreskrift. I koncernförhållanden kan det uppstå situationer där den första kontakten med Kunden sker med ett företag som inte är Personuppgiftsansvarigt. Det bästa sättet att dokumentera detta är att komplettera avtalet med egna Särskilda avtalsvillkor (nedan SAV), där det av en särskild punkt framgår vem som kan vara mottagare respektive Personuppgiftsansvarig. Om ni inte tillämpar SAV kan informationen ges i en avtalsbekräftelse eller motsvarande. 8. Kunden ska ha information om rätten att få ut uppgifter om behandlade Personuppgifter (25, c) Kommentar: Genom att i avtalet hänvisa till att ni tillämpar branschens vid var tid gällande Allmänna avtalsvillkor, så är detta kommunicerat till Kunden. Av NÄT2012K (rev) och EL2012K (rev), punkten 1.4 framgår detta. Här får ni dock se upp med att formuleringen i de Allmänna villkoren förutsätter att Elnätsföretaget respektive Elhandelsföretaget är Personuppgiftsansvarigt, vilket inte alltid är fallet i ett koncernförhållande med t.ex. gemensam Kundservice. Då får ni tillämpa SAV eller ge informationen i avtalsbekräftelsen eller motsvarande. För övriga nyttigheter bör motsvarande tas in i egna SAV. 9. Kunden ska ha information om hur man begär rättelse av felaktiga Personuppgifter (25, c). Kommentar: Genom att i avtalet hänvisa till att ni tillämpar branschens vid var tid gällande Allmänna avtalsvillkor, så är detta kommunicerat till Kunden. Av NÄT2012K (rev) och EL2012K (rev), punkten 1.4 framgår detta. Här får ni dock se upp med att formuleringen i de Allmänna villkoren förutsätter att Elnätsföretaget respektive Elhandelsföretaget är Personuppgiftsansvarigt, vilket inte alltid är fallet i ett koncernförhållande med t.ex. gemensam Kundservice. Då får ni tillämpa SAV eller ge informationen i avtalsbekräftelsen eller motsvarande. För övriga nyttigheter bör motsvarande tas in i egna SAV. 10. En begäran enligt 8. ovan ska ställas till Personuppgiftsansvarig, göras skriftligen och vara egenhändigt undertecknad. Den ska åtgärdas genom att informera Kunden om vilka Personuppgifter som behandlas, varifrån dessa uppgifter har hämtats och ändamålen med behandlingen. Begäran ska åtgärdas inom en (1) månad. (26 ). Kommentar: Här får ni se upp med att formuleringen i de Allmänna villkoren förutsätter att Elnätsföretaget respektive Elhandelsföretaget är Personuppgiftsansvarigt, vilket inte alltid är fallet i ett koncernförhållande med t.ex. gemensam Kundservice. Då får ni tillämpa SAV eller ge informationen i avtalsbekräftelsen eller motsvarande. För övriga nyttigheter bör motsvarande tas in i egna SAV. 11. Vid en begäran av den registrerade enligt 9. ovan, är den Personuppgiftsansvarige skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen (28 ). JuraB roland.stilleborn@jurab.se

6 PuL Personuppgiftslagen övergår i GDPR 12. Då det inte längre föreligger ett legitimt behov av att behandla Personuppifterna, vilket t.ex. är fallet då kundförhållandet har upphört och Kunden inte har någon skuld till Personuppgiftsansvarig, så får inte uppgifterna längre bevaras eller behandlas (9, i). Kommentar: Uppgifter som hör till anläggningen får bevaras, men uppgifter som tillhör Kunden måsta raderas. Om de inte kan raderas på grund av annan lagstiftning, t.ex. affärstransaktioner enligt bokföringslagen, ska uppgifterna blockeras så att de inte är allmänt tillgängliga eller sökbara i IT-systemet. Endast behörig personal ska kunna ta fram sådana uppgifter. 13. Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper (t.ex. kreditvärdighet) hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person som har behörighet att ersätta det automatiserade beslutet med ett annat. Rätten till omprövning innebär inte att det automatiserade beslutet måste ersättas med ett nytt beslut (29 ). Informationsskyldigheten avser bara vad som har styrt behandlingen, dvs. den tekniska processen. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26. Kommentar: Denna reglering kan bli aktuell om Kundens personnummer används för automatisk kreditkontroll hos kreditupplysningsföretag. Det bästa sättet att ge informationen om möjligheten till omprövning är att komplettera avtalet med egna Särskilda avtalsvillkor, där det av en särskild punkt framgår att Kunden kan begära omprövning om kreditkontroll medför att inte kreditleverans medges. Om ni inte tillämpar SAV kan informationen ges i en avtalsbekräftelse eller motsvarande. 14. Ett Personuppgiftsbiträde får bara behandla personuppgifter i enlighet med en instruktion från den Personuppgiftsansvarige. Denna ska finnas dokumenterad i ett skriftligt avtal om biträdets behandling för den Personuppgiftsansvariges räkning och särskilt föreskriva att behandlingen måste ske i enlighet med instruktionen (30 ). Personuppgiftsbiträdet är skyldigt att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är (31 ). Kommentar: De flesta företag som är Personuppgiftsansvariga har också olika Personuppgiftsbiträden som mottar personuppgifter för behandling. Det vanligast förekommande är då Personuppgiftansvarig överlämnar så kallade printfiler för utskrift av fakturor hos ett tjänsteföretag. Det kan också förekomma att delar av ett kundregister lämnas ut för att ett säljbolag ska genomföra säljaktiviteter. Här behövs då ett skriftligt avtal som reglerar säkerheten för personuppgifterna. Regleringen kräver inte ett särskilt avtalsdokument. Det räcker att motsvarande reglering tas in i en särskild klausul i tjänsteavtalet mellan parterna. Kravet på särskilt avtal med Personuppgiftsbiträde gäller inte mellan Personuppgiftsansvarig och ett inkassoföretag, vad gäller överlämnandet av inkassouppdrag. Här har Datainspektionen ansett att inkassoföretagen arbetar så självständigt att de har eget personuppgiftsansvar för de personuppgifter som de mottar. JuraB roland.stilleborn@jurab.se

7 Kontrollpunkter enligt Datainspektionen inför Dataskyddsförordningens införande 2018 Lämpligen definieras och startas ett projekt för detta. Inledningsvis bör ni försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av dataskyddsförordningen. Detta för att i tid kunna besluta om att avsätta de resurser som kommer att behövas för att hinna anpassa organisationen och tekniken till de nya kraven, innan Dataskyddsförordningen ska börja tillämpas fullt ut i maj Det kan bli både kostsamt och svårt att uppfylla reglerna i förordningen om ni väntar med förberedelserna till sista stund. Nästa steg blir att informera hela organisationen om förestående förändringar, så att enskilda medarbetare ska kunna dra slutsatser hur deras arbetsuppgifter påverkas och identifiera de områden som ni måste åtgärda särskilt. Här kan JuraB tillhandahålla en genomgång internt i er organisation, antingen anpassat för olika enheter, eller en gemensam för all personal. Nedanstående checklista bör tillämpas för att förbereda organisationen under för de stora förändringar som det kommer att medföra att nuvarande Personuppgiftslag upphör och ersätts av den nya Dataskyddsförordningen (EU-regelverk). Kvalitetssäkra att så många som möjligt av dagens krav i Personuppgiftslagen uppfylls senast 1.a kvartalet Detta genom att inventera de tekniska och organisatoriska förutsättningarna för detta. De krav som av tekniska orsaker (brister i nuvarande ITsystem) inte kan uppfyllas, flyttas över till kravspecifikationen för de systemförändringar som måste göras. De krav som av organisatoriska orsaker (brister i nuvarande rutiner) inte uppfylls idag, åtgärdas snarast. Jag kommer här att i första hand fokusera på att beskriva vilka krav som ställs på er organisation redan idag, med nuvarande lagstiftning och hur ni lämpligen går till väga för att lokalisera brister. Vilka personuppgifter hanterar ni? Ni bör inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Ni kan behöva göra en bred översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av er organisation. Dataskyddsförordningen innehåller rättigheter som anpassats till informationssamhället. Om ni till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, behöver ni informera mottagaren om detta så att denne i sin tur kan rätta sina egna register. Ni kommer inte att kunna uppfylla detta krav om ni inte vet vilka uppgifter som ni hanterar, varifrån de samlades in och till vem uppgifterna har lämnats ut. Om ni dokumenterar detta kan det hjälpa er att uppfylla dataskyddsförordningens krav på att ni måste kunna visa att förordningens bestämmelser följs. Andra sätt att uppfylla detta krav är att införa en effektiv policy för dataskydd och tydliga rutiner vid hanteringen av personuppgifter.

8 Vilken information lämnar ni? Ni bör granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra. När ni samlar in personuppgifter måste ni enligt personuppgiftslagen lämna viss information, till exempel om er identitet och ändamålet med behandlingen. Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat kommer ni att behöva informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten (som i Sverige är Datainspektionen) om man anser att ens personuppgifter har hanterats felaktigt av er. Viktigt i sammanhanget är att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. Hur ska ni tillmötesgå de registrerades rättigheter? Ni bör se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format. De viktigaste rättigheterna för de registrerade är att: få tillgång till sina personuppgifter få felaktiga personuppgifter rättade få sina personuppgifter raderade invända mot att personuppgifterna används för direktmarknadsföring invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering flytta personuppgifterna (dataportabilitet) På det stora hela kommer de registrerade att ha samma rättigheter som idag men rättigheterna förstärks med dataskyddsförordningen. Om ni redan idag tillmötesgår de registrerades rättigheter bör övergången till den nya förordningen gå relativt smidigt. Det är därför ett bra tillfälle att nu se över era rutiner och fundera på hur ni ska hantera en begäran om rättelse från en registrerad. Kan era system hjälpa er att hitta och rätta uppgifterna? Vem kan besluta om att uppgifter ska rättas? Dataskyddsförordningen innehåller i likhet med personuppgiftslagen en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter som behandlas om dem. Detta ska göras kostnadsfritt. När ni hanterar en sådan begäran kommer ni dessutom att behöva lämna viss ytterligare information, som exempelvis hur länge personuppgifterna kommer att lagras och att man har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt. Nytt i dataskyddsförordningen är rätten till dataportabilitet. Denna rättighet kommer att göra det lättare att flytta sina personuppgifter från en organisation eller leverantör till en annan. För er organisation innebär detta att ni i många fall måste kunna tillhandahålla uppgifterna i ett allmänt använt och maskinläsbart format. Tänk på att det är viktigt att säkerställa att en sådan begäran verkligen kommer från den registrerade och undersök därför vilka tekniska lösningar ni kan behöva för detta.

9 Med vilket rättligt stöd behandlar ni personuppgifter? Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser. Många organisationer har inte tydligt pekat ut med vilket rättsligt stöd de behandlar personuppgifter. Det är inte ovanligt att organisationer anser sig ha flera alternativa grunder för sin behandling. Med förordningen följer krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns till exempel större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning. De rättsliga grunderna för behandling av personuppgifter är i stort sett oförändrade. Ni kan därför redan nu kartlägga vilka behandlingar ni genomför och med vilken rättslig grund ni gör detta. Ni bör dokumentera era slutsatser för att ni också ska kunna visa att ni uppfyller dataskyddsförordningens krav. Observera att man i myndighetsutövning inte kommer att kunna stödja sin behandling enbart på en intresseavvägning. Hur inhämtar ni samtycke? Ni bör undersöka på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade. Ett giltigt samtycke enligt dataskyddsförordningen har samma innebörd som i personuppgiftslagen. Det måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om ni stödjer er på samtycke för att behandla personuppgifter behöver ni försäkra er om att kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste ni antingen förändra era rutiner eller finna en annan rättslig grund för behandlingen. Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ni bör fundera över hur ni i efterhand ska kunna visa att ett giltigt samtycke har lämnats. Vad ska ni göra vid personuppgiftsincidenter? Ni bör se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Dataskyddsförordningen innehåller nya bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till tillsynsmyndigheten inom 72 timmar.

10 Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, idstölder, bedrägerier eller finansiella stölder ska ni även informera de registrerade om händelsen så att de kan vidta nödvändiga åtgärder. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att ni har tillräckliga rutiner på plats för att ni ska kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Ni bör även fundera över vilka risker en sådan incident kan medföra och när ni behöver anmäla händelsen till tillsynsmyndigheten. Tänk på att tidsfristerna för att rapportera personuppgiftsincidenter är korta. Det är därför bra att redan nu bestämma var ansvaret för att göra en sådan anmälan ska ligga i er organisation så att anmälan kan göras i rätt tid. Vilka särskilda integritetsrisker finns med er behandling? Ni bör fundera på om er personuppgiftsbehandling är förenad med särskilda risker för enskildas fri- och rättigheter och om ni i så fall måste göra en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen. Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker för enskilda. Om er organisation avser att utföra en riskfylld personuppgiftsbehandling måste ni först göra en noggrann analys av vilka konsekvenser behandlingen kan få för enskilda. Sådan riskfylld behandling kan till exempel vara behandling av skyddade personuppgifter. Har ni byggt in skydd för personuppgifter i era IT-system? Ni bör redan nu ta hänsyn till dataskyddsförordningens regler när ni tar fram nya IT-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. Genom att ta hänsyn till dessa principer när man utvecklar nya eller ändrar befintliga ITsystem blir det enklare för organisationer att uppfylla reglerna i förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen. När ni behandlar personuppgifter ska ni vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i förordningen både när ni fattar beslut om hur behandlingen ska genomföras och under hela den fortsatta behandlingen. Vilka åtgärder som behövs beror på uppgifternas art, omfattning och syfte med behandlingen liksom vilka risker för enskildas rättigheter och friheter som behandlingen kan innebära. Åtgärderna kan till exempel vara pseudonymisering, som medför att uppgifterna inte går att koppla till en enskild person utan ytterligare information (nyckel) som hålls avskild, eller dataminimering, det vill säga att endast behandla de uppgifter som är nödvändiga för varje enskilt ändamål.

11 Vem ansvarar för dataskyddsfrågor i er organisation? Ni bör bestämma var i er organisation som ansvaret för dataskyddsfrågor ska ligga. Om det krävs enligt dataskyddsförordningen måste ni även formellt utse ett dataskyddsombud. Förordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Har ni verksamhet i flera länder? Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför. Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om ni har verksamhet i flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar som ni utför. Förordningens regler kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sin centrala förvaltning eller var beslut om personuppgiftsbehandling fattas. I organisationer med traditionella upplägg, där alla viktiga beslut fattas på huvudkontoret, skapar detta normalt inga större problem. Det kan dock bli svårare att avgöra i organisationer med spridda ansvarsområden, där beslut om personuppgiftsbehandlingen ofta fattas på olika ställen. I sådana fall kan olika behandlingar falla under olika tillsynsmyndigheters behörighet. Det kan alltså vara nödvändigt att kartlägga var i er organisation de viktigaste och mest betydelsefulla besluten om personuppgiftsbehandling fattas.