Den nya dataskyddsförordningen - GDPR Hur klarar din organisation den? 2016-11-01
1. Sammanfattning Den 25 maj 2018 kommer Personuppgiftslagen (PUL) att ersättas av EU Allmän Dataskyddsförordning eller General Data Protection Regulation (GDPR). Den nya förordningen omfattar framförallt ett stärkt skydd för den registrerade och utökat ansvar för de som registrerar eller behandlar personuppgifter. Dessutom kan det innebära dryga böter att inte följa förordningen. Skälet för införande är att samordna lagstiftning för personuppgifter mellan länderna i EU och att modernisera det tidigare mer än 20 år gamla direktivet. Har din organisation full kontroll hur personuppgift hanteras? Om redan system och processer som hanterar personuppgifter följer PUL så är förändringarna inte så stora. Men följer din organisation PUL fullt ut idag? Sannolikt bör din organisation snarast kontrollera hur personuppgifter hanteras idag och lägga upp en handlingsplan om vilka system och processer som behöver anpassas. 4 viktiga punkter att tänka på: 1. Ta reda på var personuppgifter finns lagrade, både strukturerade och ostrukturerade 2. Se till att berörda personer ska ges enkel tillgång till sina egna uppgifter 3. Se till att berörda personer kan få sina uppgifter borttagna 4. Se till att samtycke finns för att samla in en persons uppgifter Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 2
Innehållsförteckning 1. Sammanfattning... 2 2. Referenser... 3 3. Bakgrund... 4 4. Vad behöver göras?... 5 5. Punkter att kontrollera... 6 5.1 Källsystem... 6 5.2 Personuppgifter... 6 5.3 Andra lagar och standarder... 6 5.4 Utbildning och ansvar... 7 5.5 Underleverantörer... 7 5.6 Information till datainspektionen... 7 6. Förslag på Projektplan... 8... 8 2. Referenser [1] Datainspektionen http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/ [2] Allmän Dataskyddsförordning http://eur-lex.europa.eu/legal-content/sv/txt/html/?uri=oj:l:2016:119:full&from=sv [3] EU General Data Protection Regulation (GDPR) http://eur-lex.europa.eu/legal-content/en/txt/html/?uri=oj:l:2016:119:full&from=sv Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 3
3. Bakgrund I april 2016 fattade EU beslut om den nya dataskyddsförordningen, General Data Protection Regulation, GDPR, som börjar gälla från 25 maj 2018. I Sverige kommer GDPR eller Allmän Dataskyddsförordning att ersätta Personuppgiftslagen, PUL. Nuvarande svenska regelverk PUL bygger på EUs dataskyddsdirektiv från 1995. Skälet för införande är att samordna lagstiftning för personuppgifter mellan länderna i EU och att modernisera det tidigare mer än 20 år gamla direktivet. Tillsynsmyndighet i Sverige är Datainspektionen, som genom sin tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. I och med GDPR får tillsynsmyndigheten större ansvar genom mandat att granska efterlevnad, besluta om sanktioner och samordning mellan medlemsstater. Både Allmän Dataskyddsförordning (GDPR) och PUL handlar om skydd av personuppgifter. Datainspektionen definierar personuppgift som All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Notera att personuppgifter kan vara både strukturerad i olika IT-system, men även ostrukturerade som i medarbetares datorer i Word, Excel, e-mail och chattar. Vad är skillnaden mellan Allmän Dataskyddsförordning (GDPR) och PUL? Den nya förordningen omfattar framförallt ett stärkt skydd för den registrerade och utökat ansvar för de som registrerar eller behandlar personuppgifter. De största skillnaderna är: Berörda personer ska ges enkel tillgång till sina egna uppgifter Tydligare krav på samtycke för att samla in en persons uppgifter Berörda personer kan få sina uppgifter flyttade från en organisation till en annan Berörda personer kan få sina uppgifter borttagna Organisationer som drabbats av en incident måste anmäla detta inom 72 timmar från det att dataintrånget upptäcks Att inte följa kraven i lagen kan innebära dryga böter på upp till 20 miljoner eller 4% av den globala omsättningen. Det gamla direktivet PUL hade i jämförelse få och små böter. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 4
4. Vad behöver göras? Med tanke på förändringarna bör din organisation säkerställa att direktivet följs senast från den 25 maj 2018. Olika organisationer startar från olika utgångspunkt. Om redan system och processer som hanterar personuppgifter följer PUL så är förändringarna inte så stora. Men följer din organisation PUL fullt ut idag? Sannolikt bör Din organisation snarast kontrollera hur personuppgifter hanteras idag och lägga upp en handlingsplan om vilka system och processer som behöver anpassas. Men om det är oklart i organisationen hur väl direktivet följs, så krävs snabbt agerande eftersom tidsfristen är kort. Ett tydligt sätt att genomföra förändringen är att utse ett projekt, som rapporterar till styrgrupp med medlemmar från ledningsgruppen. I förstudien kan utredas vilka förändringar av personuppgifter som krävs och resultera i en plan för införande. 4 viktiga punkter att tänka på: 1. Ta reda på var personuppgifter finns lagrade, både strukturerade och ostrukturerade 2. Se till att berörda personer ska ges enkel tillgång till sina egna uppgifter 3. Se till att berörda personer kan få sina uppgifter borttagna 4. Se till att samtycke finns för att samla in en persons uppgifter I nästa kapitel är en lista på punkter som kan vara relevanta att kontrollera. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 5
5. Punkter att kontrollera 5.1 Källsystem Upprätta eller kontrollera befintlig förteckning på register som innehåller personuppgifter. Om ett register behöver ta hänsyn till nya direktivet eller inte är helt avhängt huruvida registret kommer att lagra personuppgifter eller inte. Om registret hämtar personuppgifter från andra system, så behöver man inte alltid ta hänsyn till nya direktivet för detta register. Gör risk- och konsekvensanalys för de register som innehåller känsliga uppgifter. 5.2 Personuppgifter För ett register som lagrar personuppgift ska bland annat följande vara uppfyllt: Det ska inte finnas mer personuppgifter än nödvändigt. Samtycke ska inhämtas. Den registrerade har rätt till portabilitet. Det ska finnas en tydlig beskrivning av ändamålet med systemet. Det ska gå att ta ut all information som går att koppla till en enskild individ och denna information ska vara lättförståelig för mottagaren. Det ska även gå att radera denna information om användaren så begär. Behörighetensnivåerna ska vara konfigurerbara, så att bara de som verkligen får se information, är de som kan se information. Kryptering eller pseudonymisering av personuppgifter För öppna nät måste överföringen ske krypterat Personuppgifter ska, om inte skäl finns (t.ex. bokföringslagen), raderas efter 2 år. 5.3 Andra lagar och standarder Kontrollera om organisationen följer andra lagar eller standarder som reglerar hantering av personuppgift. Ett par exempel på standarder: PCI DSS (Payment Card Industry Data Security Standard) - mogen säkerhetsstandard som uppfyller krav i GDPR. ISO 27000-serien. ISO 27001 - icketeknisk, fokuserar på att utvärdera och hantera risker för informationssäkerhet i ständig förbättring. En organisation som uppfyller ISO 27001 uppfyller en del krav, men inte alla krav i GDPR. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 6
5.4 Utbildning och ansvar Utse informationsansvariga för personuppgifter, om inte redan utsett. Utse eventuellt ett dataskyddsombud. Datainspektionen har utbildningar. Planera för utbildning av all personal som hanterar personuppgifter. 5.5 Underleverantörer Med den nya lagen finns även ett långtgående ansvar för underleverantörer som måste följa reglerna på ett likartat sätt. Beakta skadestånds- och ansvarsåtaganden när avtal tecknas eller förnyas med outsourcingpartners och molntjänstleverantörer. 5.6 Information till datainspektionen Vid integritetsbrott ska tillsynsmyndigheten och den registrerade informeras inom 72 timmar. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 7
6. Förslag på Projektplan Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 8