SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Transkript

1 SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

2 Dataskyddslagen (GDPR) Det har sedan en lång tid tillbaka pågått diskussioner kring en uppdatering av EU:s dataskyddslag som i grunden inte har uppdaterats sedan Efter tuffa förhandlingar enades parterna om en ny förordning (en förordning inom EU kan åberopas inför en nationell domstol likt en nationell lag) som publicerades i maj 2016 och träder i kraft i alla EU-länder från 25:e maj Det är med andra ord bråda dagar för de organisationer som måste efterleva den nya lagen. Den nya lagen General Data Protection Regulation (GDPR) kommer ersätta den tidigare personuppgiftslagen som baseras på det tidigare EU-direktivet Data Protection Directive (DPD). Målsättningen med GDPR är att modernisera dataskyddsreglerna i de 28 medlemsländerna inom EU. Den nya lagen tydliggör för företag och organisationer vilka regler som gäller och vad som händer ifall man inte följer dem. Till skillnad mot den tidigare lagen kan bristande efterlevnad av den nya lagstiftningen bli mycket kostsam. Vilka omfattas av den nya dataskyddslagen? GDPR kommer att påverka de organisationer som behandlar (samlar in, lagrar, bearbetar osv.) personuppgifter vilket i praktiken omfattar alla organisationer som har anställda eller kunder. Lagen påverkar inte bara de som är verksamma inom EU utan även de organisationer som behandlar EU-medborgares personuppgifter oavsett var de befinner sig fysiskt. Det är också värt att notera är att det inte spelar någon roll om man erbjuder en tjänst mot betalning eller inte alla personuppgifter ska skyddas. Vad avses med personuppgift? Med personuppgift avses all information som entydigt går att koppla till en individ, en s.k. registrerad. Det kan vara uppenbara saker som exempelvis ett namn, men det kan också vara information som i kombination med andra uppgifter gör det möjligt att identifiera en specifik individ. Exempelvis kan information om antalet barn kombinerat med kön och bostadsort göra det möjligt att identifiera en person. Exempel på uppgifter som kan bedömas vara personuppgift: Tilltalsnamn i kombination med efternamn E-postadress Bankuppgifter Fotografier Uppdateringar på Facebook Medicinsk information IP-adress

3 Hur påverkar den nya dataskyddslagen din organisation? Den nya lagen kommer konkretisera regelverket kring skyddet av personuppgifter. I det gamla regelverket ingick inte ostrukturerad information såsom Word-dokument och pdf-filer; i den nya lagtexten ingår all information som verksamheten hanterar. Varje organisation kommer att behöva vidta lämpliga tekniska och organisatoriska åtgärder i syfte att uppfylla kraven. Vilka åtgärder som behövs beror exempelvis på uppgifternas art, omfattning, syfte med behandling samt vilka risker för individen som behandlingen kan innebära. Åtgärderna är flera, men det kan exempelvis röra sig om pseudonymisering som gör att uppgifterna inte går att koppla till en enskild individ utan en specifik nyckel som hålls avskild. Några nyckelkoncept i den nya lagstiftningen är dataminimering, privacy by design och privacy by default. Dataminimering innebär att organisationen upphör med att spara och behandla personuppgifter som saknar ett legalt syfte. Privacy by design och privacy by default innebär att integritetsfrågorna naturligt ska ingå i samtliga system, processer och organisationens löpande verksamhet med tillhörande kontroller. Istället för att granskas av en tillsynsmyndighet i varje land med egna regler kan idag organisationer dra nytta av att samma regelverk nu kommer att gälla för hela EU. En internationell organisation behöver alltså inte granskas av flera tillsynsmyndigheter utan endast av en som är ansvarig för översyn och tolkning av förordningen. Detta kallas för one-stop-shop och förväntas skapa bättre förutsägbarhet inom unionen. GDPR kommer också på ett tydligare sätt avgöra ansvaret för organisationer kring de uppgifter de hanterar. Det kommer underlätta för organisationer att följa reglerna och undvika påföljder. I Sverige kommer Datainspektionen ha uppdraget att kontrollera att regelverket följs och bestraffa de aktörer som bryter mot lagen. En organisation som är verksam i flera länder kommer att kontrolleras av den nationella tillsynsmyndighet där företaget har sin primära hemvist. Vad händer om man inte uppfyller kraven? Det är upp till varje enskild organisation att säkerställa att de uppnår de krav som ställs enligt den nya lagen. Det spelar ingen roll om organisationen i fråga använder sig av en molntjänstleverantör eller anlitar en IT-partner för sitt databehov. En organisation som inte uppfyller förordningens krav kan bestraffas med böter på upp till 4 % av den konsoliderade, globala årsomsättningen hos hela koncernen eller 20 miljoner euro beroende på vilket belopp som är störst. Det är med andra ord extremt tuffa bestraffningar som väntar den som inte sköter sina kort rätt. Dessutom ställer GDPR krav på att en organisation som utsatts för ett dataintrång inom 72 timmar ska meddela detta till berörda intressenter och dess tillsynsmyndighet. Bara processerna för att kommunicera den typen av information till berörda individer kan innebära ett omfattande arbete och en stor förändring.

4 5 tips inför den nya dataskyddslagen Först och främst måste en organisation som strävar efter att uppfylla kraven i GDPR sätta sig in i vilken information man samlar in, lagrar osv. och för vilket syfte man gör det. Det är också viktigt att man tidigt ser över vilka risker organisationen som helhet står inför och vilka konsekvenser som dessa risker skulle kunna få. 1. Utbildning För att underlätta inventeringen av personuppgifter och det fortsatta arbetet med att efterleva GDPR är det viktigt med utbildningsinsatser i syfte att förbättra kunskapen internt. Sannolikt hanteras och sparas vissa personuppgifter på rutin utan tydligt syfte, något som behöver förändras för att kunna efterleva den nya lagen. Detta innebär att utbildningsinsatser regelbundet behöver genomföras i stora delar av verksamheten. 2. Gör en inventering av de personuppgifter som behandlas Varje organisation behöver identifiera och inventera befintliga personuppgifter som behandlas enligt artikel 30 i GDPR. Beroende på antal system, integrationspunkter, samarbetspartner och leverantörer som är inblandade kan arbetet bli en komplex och tidskrävande process. Om det inte finns ett juridiskt gångbart syfte att hantera denna information får den helt enkelt inte hanteras. Frågeställningar som ingår i detta steg är var och varför hanteras personuppgifterna samt hur länge ska de sparas. Inventeringen utgör grunden i efterlevnadsarbetet då det är denna information som ska skyddas. Rekommendationen är att genomföra aktiviteten minst två gånger innan lagen träder i kraft för att säkerställa att alla personuppgifter identifierats och att verksamheten har stöd i lagen att hantera dem. 3. Genomför en konsekvensanalys (Data Protection Impact Assessment) I den nya lagen ställs krav på att organisationer ska genomföra en konsekvensanalys kring användandet av personlig information och de risker detta kan innebära för individerna. Riskanalysen identifierar de känsligaste personuppgifterna för att kunna definiera relevanta kontroller som säkerställer att organisationen hanterar personuppgifter på rätt sätt. 4. Utse en Dataskyddsansvarig / Data Protection Officer Alla organisationer behöver någon som ansvarar för frågorna som rör dataskydd. För viss verksamhet kräver lagen dessutom en Data Protection Officer som får en mycket viktig roll inom organisationen för att löpande säkerställa att verksamheten efterlever lagen. Rollen innebär också ett personligt ansvar, vilket sannolikt innebär att det kan bli en utmaning att fylla denna position. 5. Inför kontroller i verksamheten I och med att kraven är strängare och straffen hårda är det otroligt viktigt att vara bra förberedd och ha processerna på plats ifall en incident sker. Det är med andra ord läge att uppdatera er incidenthanteringsplan och säkerställa att ni kan agera snabbt och på rätt sätt i enlighet med GDPR. GDPR ställer helt andra krav på att organisationen i fråga ska kunna kommunicera med berörda intressenter ifall en person önskar att få ta del av informationen som finns lagrad om en. En berörd person har också ett antal rättigheter som exempelvis berör vidarebefordring av data, korrigering av data och rätten att få bli glömd. Det gäller med andra ord att se till att ens system kan samagera på att ett bra sätt och att det finns riktlinjer för hur man ska kommunicera med motparten och tillgodose eventuella krav.

5 Det är även viktigt att uppdatera kontrakt med leverantörer och andra intressenter för att säkerställa att alla krav i GDPR uppfylls. Säkerställ sedan löpande att kontrollerna verkligen fungerar. Sentor kan ta er närmare GDPR compliance Sentor hjälper så väl stora multinationella företag som mindre bolag att uppnå efterlevnad enligt rådande personlagstiftning. Vi har flera specialister på området som kan stötta organisationer i arbetet med datainventering, utbildning, riskanalys och införandet av kontroller i verksamheten. Sentor har också ett nära samarbete med Advokatfirman Delphi för frågor av mer juridisk karaktär. Besök oss på eller ring för mer information!

6 Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd Stockholm +46 (0) Sentor MSS AB Adelgatan Malmö +46 (0)