Tillbaka till listan

GDPR

Dags för ny gemensam lagstiftning i EU. GDPR, General Data Protection Regulation. Den börjar gälla som lag fr o m 25 maj 2018 och ersätter då vår PUL-lagstiftning. I ett slag förändras förutsättningarna för att hantera all persondata. Det nya regelverket består av två rättsakter där den mest centrala är den allmänna dataskyddsförordningen som omfattar hantering av personuppgifter.

Det här handlar saken om

Lagstiftningen handlar om personlig integritet och individens rätt till att både få reda på vilken information som finns lagrad, var den är lagrad och också rätten att få den raderad. GDPR reglerar i vilken utsträckning som verksamheter har rätt att begära och lagra personinformation och synsättet är generellt restriktivt. Ett speciellt avsnitt finns nedtecknat kring persondata inom arbetsrätten och här gäller grundregeln att data endast får lagras om det finns medgivande och/eller det handlar om relevans för att driva verksamheten.

 

De här omfattas av lagstiftningen

Lagstiftningen riktar specifikt in sig på verksamheter med tredje partsdata, t ex  där myndigheter arbetar med persondata, d v s olika former av marknadsförings- och försäljningsorganisationer m fl. Den omfattar också sådant som sker i nästan alla verksamheter, d v s hantering av olika typer av medarbetarsamtal som lagras t ex lönesamtal, utvärderingar och kompetensdata. Den nya lagen innebär ett betydligt striktare synsätt förknippat med substansiella bötesbelopp om man bryter mot lagen. I extremfallet är bötesbeloppet kopplat till 4% av verksamhetens omsättning, eller €20 miljoner beroende på vilket av beloppen som är störst (!). Bötesbeloppen för mer generella brott mot GDPR kommer förstås inte vara lika omfattande men säkert är att det blir kännbara straff. Ansvaret för efterlevnad vilar på styrelse och VD och går inte att delegera! 

 

Rollerna – de som hanterar data

Den som arbetar med datan kallas för Personuppgiftsansvarig och om den data man arbetar med förvaras hos en annan part, t ex på ett webbhotell, extern serverleverantör, i en molntjänst kallas den parten för Personuppgiftsbiträde. Lagstiftningen stipulerar vilka skyldigheter man har som respektive part. Viktigt är också att ett avtal måste tecknas som reglerar samarbetet mellan en Personuppgiftsansvarig och ett Personuppgiftsbiträde. Här är det av stor vikt att man arbetar med ett Personuppgiftsbiträde som uppfyller lagstiftningen med rätt krypteringsnivå, säkerhet för inloggning och förvaring men också att all data förvaras inom EU. Här är det t ex på sin plats att nämna det inte är förenligt med lagstiftningen att lagra persondata hos en amerikansk leverantör om denna inte kan påvisa att all data lagras inom EU.

 

Du behöver systemstöd för processer

Processer som du idag gör med Word och Excel bör du ta dig en ordentlig fundering kring. Att upprätthålla lagstiftningen kommer att bli mycket svårt utan oöverstigliga arbetsinsatser. Inte heller går det att ducka med hänvisning till att man gör sina processer i ‘pappersformat’ eftersom den nya lagstiftningen även omfattar sådant som förvaras i lådor och kabinetter. Lagstiftningen kräver dels att all data ska förvaras säkert men framförallt att man ska kunna förklara och visa på hur processen för insamling, förvaring och även radering fungerar. Det motsvaras inte av en lösning där dokument förvaras i olika mappar, på olika datorer, i lådor, mailboxar och på andra platser vilket är vanligt idag. Om du har en sådan process är det av stor vikt att börja agera. Lagstiftningen kräver att IT är byggt på principen ”Privacy by design” för att uppfylla lagkravet.

 

Men lugn, lösningen är inte långt borta. Flera system på marknaden är säkrade för GDPR idag och det finns än så länge en del tid innan lagstiftningen träder i kraft. Det är dock hög tid att börja planera och ta höjd för att få en process på plats. Du är välkommen att kontakta oss så hjälper vi dig med tips om hur du kan agera. Och självklart, med Heartpace lever du upp till GDPR! 

 

Om du vill kan du ta del av dataskyddsförordningen i sin helhet –  klicka här! och vill du läsa mer om dina skyldigheter som Personuppgiftsansvarig så läs mer här.

Henrik Dannert

CEO

Har du frågor?

Kontakta oss