Den 25 maj 2018 träder den nya dataskyddsförordningen (GDPR = General Data Protection Regulation) ikraft, den ersätter det vi till vardags kallar PUL. Kanske har du hört talas om den och redan börjat arbeta med att se över vad ni behöver förändra… annars är det nu hög tid att göra det!
Vilka berörs av GDPR?
I stort sett alla företag berörs av den nya dataskyddsförordningen!
Har företaget uppgifter om fysiska personer registrerade t.ex. genom att använda system för löne- och personalhantering, kundregister eller på annat sätt hanterar personuppgifter så berörs ert företag. Med personuppgifter avses uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person.
Vad är förändringarna mot PUL?
Det är många saker som är lika mellan GDRP och PUL men några viktiga skillnader finns. Det är dock viktigt att tänka på att den som är registrerad precis som tidigare har rätt att få veta hur behandling av uppgifterna sker, att den som handhar registren har tillräcklig säkerhet så att uppgifterna skyddas på rätt sätt. Gäller registreringen s.k. känsliga uppgifter (t.ex. hälsa, etniskt ursprung, politisk uppfattning eller religiös) gäller särskilda krav.
- Dataskyddsombud. Som tidigare måste det finnas en personuppgiftsansvarig (och eventuellt personuppgiftsbiträde). Behandlar man känsliga uppgifter måste även ett dataskyddsombud utses.
- Rätten att bli glömd. Varje fysisk person har rätt att vända sig till företaget för och begära att alla uppgifter om denne skall raderas. Särskilda regler gäller för när radering ej behöver ske.
- Krav på dokumentation. Dokumentation måste finnas kring de register som finns och de olika processer som finns för att hantera personuppgifterna.
- Dataportabilitet. Den registrerade har rätt att få ut de uppgifter som finns registrerade för att föra över till en annan tjänst.
- Anmälan om personuppgiftsincident. Skulle en oavsiktlig förlust av de registrerade uppgifterna ske (t.ex. genom dataintrång eller stöld av dator) skall detta anmälas till Datainspektionen inom 3 dygn (i vissa fall måsta även de drabbade informeras).
- Missbruksregeln försvinner. I PUL finns en regel om en förenklad hantering av personuppgifter som innebär att det är godkänt med viss uppgiftsbehandling i löpande text och listor. Denna regel försvinner i och med GDPR!
Vite vid brott mot GDPR
Ett bort mot PUL har inte inneburit något större straff. Vid bort mot GDPR har Datainspketionen möjlighet att utdöma viten på upp till 4% av omsättningen.
Hjälp?
Kontakta oss om du har frågor eller vill ha hjälp med att se över din verksamhet vad gäller GDPR.