Den nya EU-lagen kallad Dataskyddsförordningen, eller på engelska General Data Protection Regulation (GDPR) blev just fastslagen och godkänd i Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, med 48 röster för och 4 mot. Detta betyder att vi nu har en ny lag som gäller samtliga länder i EU om hur personuppgifter skall hanteras.
Det har funnits utbredd skepsis mot att man skulle kunna hålla tidslinjen, men det har man gjort och nu har alla företag och myndigheter två år på sig att anpassa sig. Intressant är också att lagen gäller processandet av personuppgifter av EU-medborgare oberoende av om den som processar dessa är lokaliserad inom EU eller inte. Som personuppgift klassas utöver uppenbara uppgifter som t.ex. epost-adress eller namn även lokationsdata och online-identifierare (t.ex. cookies).
Vad innehåller lagen?
Lagen är extensiv och täcker in allt från hur information om insamling av persondata skall presenteras på ett klart och tydligt sätt för individer till hur persondata skall skyddas tekniskt, men nedan är några av huvudpunkterna.
Lagen fastslår ett flertal rättigheter för registrerade
- Tjänster som går att likna vid sociala medier skall kräva målsmans godkännande om barnet är under 16 år.
- Organisationer måste hantera inkomna förfrågningar gällande individers rättigheter senast inom en månad.
- Rättigheten till att kunna få ut information om vilken information som blivit insamlad om den registrerade, vad syftet med insamlingen är, vilka entiteter som tagit del av informationen, hur länge informationen skall lagras och vilka övriga rättigheter den registrerade har.
- Rättigheten till att få sina personuppgifter raderade när t.ex. lagringsperioden gått ut eller om den registrerade inte längre ger sitt samtycke till informationsinsamlingen.
- Rättigheten till att motsätta sig eller fastslå restriktioner kopplat till insamlingen eller behandlingen av personuppgifter, t.ex. i direktmarknadsföringssyften.
- Rättigheten till att få felaktig information korrigerad
- Rättigheten till att kunna få ut sin information på ett strukturerat, standardiserat och lättolkat sätt.
Lagen medför höga krav på registerförare och registeransvariga:
- Det krävs ”Security by design” och ”Security by default” på alla system som hanterar personuppgifter.
- Tekniska skydd skall implementeras i förhållande till risken med behandling av uppgifterna.
- Skyddsnivåer för personuppgifter vid lagring eller överföring skall vara sådana att de inte oavsiktligt eller avsiktligt kan förstöras, förloras, ändras eller läcka ut.
- Det skall finnas funktioner för automatisk gallring av personuppgifter.
- Tillsynsmyndigheter har rätt att utföra kontroller.
- All offentlig verksamhet och de organisationer som processar persondata som innebär stor risk för individens rättigheter (t.ex. personuppgifter som hälsoinformation) måste ha ett utpekat uppgiftsskyddsombud som rapporterar direkt till ledningen. Organisationen har plikt att säkerställa tillräckliga resurser för uppgiftsskyddsombudet, inklusive personens fortsatta expertkompetens. Uppgiftsskyddsombudet skall bl.a monitorera att förordningen följs.
- Konsekvensbedömningar avseende uppgiftsskydd skall genomföras innan processande av uppgifter som kan innebära stor risk för individens rättigheter.
- Registerförare (t.ex. ”hosters” eller andra tjänsteleverantörer) måste tillåta sina kunder att utföra kontroller och inspektioner för att verifiera att lagen efterföljs.
- Registerförare ärver visst ansvar av registeransvarige och kan således drabbas av både vite och skadeståndskrav. Vidare krävs registerföring över vilket persondata som behandlas per enskild registeransvarige.
- Anmälningsplikt gäller till tillsynsmyndigheten inom 72 timmar vid läckage av personuppgifter. Även de registrerade skall informeras om påverkan på individen är stor (troligtvis om detta involverar känsliga personuppgifter som hälso- eller kreditkortsinformation).
För att säkerställa att lagen efterlevs implementeras viten:
- Tillsynsmyndigheterna ges befogenhet att vitesbelägga alla registerförare och registeransvariga som inte lever upp till sina skyldigheter. Maxnivån för viten är 4% av företagets globala omsättning eller 20 000 000 euro, vilket som nu är störst.
- Drabbade personer har rätt till ersättning för materiella och immateriella (dvs. sveda och värk) skador.
Bråttom för organisationer att förbereda sig:
Med de omfattande krav som den nya lagen medför kommer det bli en ansenlig ansträngning att anpassa sig, och två år kommer vara ont om tid. Några av de frågor som behöver adresseras är:
- Vad innebär det för företaget med lagstadgade krav att rapportera intrång och hur förbereder man ledningsgrupp och personal?
- PR, Juridik och Försäkring – vilka övriga delar i verksamheten påverkas?
- Hur skall man hantera de ändrade kraven på information, både till myndigheter och kunder?
- Hur påverkas säkerhetsarbetet?
- Vad bör man göra för att minimera risken för viten eller ersättning till privatpersoner?
- Hur påverkas utvecklingsarbetet av begrepp som privacy by design?
- Hur påverkas befintliga system och integrationer av rätten att bli glömd?
- Hur påverkas avtal?
De närmsta två åren kommer bli oerhört spännande, t.ex. kvarstår såklart vad som nu kommer hända i dialogen med t.ex. stora amerikanska molnleverantörer och hur dessa skall förhålla sig till lagen. Som bekant ogiltigförklarades Safe Harbor nyligen i en uppmärksammad dom från EU-domstolen.
För den som är intresserad av att veta mer:
Addlevels workshops och executive briefings om lagen:
http://www.labcenter.se/Workshop#workshop=EUs_dataskyddsforordning
Blogg om hur företag bör förbereda sig:
http://www.addlevel.se/forberedelser-infor-dataskyddsforordningen/
Blogg om skälen bakom lagen:
http://www.addlevel.se/dataskyddsforordningen-ett-argument-for-ansvarsfulla-foretag/
Med vänliga hälsningar
Mårten Thomasson
The post Dataskyddsförordningen fastslagen appeared first on Addlevel.