Vad sa vi på frukostseminariet?

---

Bakgrunden till nya lagförslaget

I maj 2018 kommer den nya lagen träda i kraft, det är då 20 år sedan lagen om PuL kom och världen såg helt annorlunda ut. 15 procent av svenskarna hade tillgång till internet och ungefär 40 procent av svenskarna hade en dator hemma. 

 

Idag har ungefär 93 procent av svenskarna både tillgång till Internet och minst en enhet i hemmet. Du behöver idag heller inte ha en dator för att vara ansluten till nätet. 

 

Det mesta har flyttat till nätet, vilket har lett till ökad kriminalitet. Fler och fler incidenter sker varje dag och det är knappt att man höjer på ögonbrynen när stora cyberattacker sker. När mer och mer flyttar över till molnet inkluderar det också våra personuppgifter och det är med anledning av detta som man från EU:s sida vill strama åt reglerna, för att skydda individen. 

 

---

Här är de sex största förändringarna:

• Strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.

• Behandlingen får bara ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.

• Företag och myndigheter måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt .Det räcker inte att säga att de har rutiner, demåste kunna visa att de följs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys. 

• Positionen personuppgiftsansvarig förändras. Varje företag/myndighet måste ha en dataskyddschef, data protection officer. Personen har större ansvar och fler skyldigheter än tidigare. Vissa företag behöver personuppgiftsombud, när det handlar om särskilt riskfylld personuppgiftshantering. Det är fortfarande oklart vilka som omfattas av det kravet. 

• Dataskydd som standard – känsliga data ska alltid krypteras. Detta kallas också privacy by default.

• Datainspektionen kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag. 

 

---

Vad är en personuppgift?

• Personnummer

• Namn

• Adress

• Telefonnummer

• E-post

• Foto

• Inspelning

• IP-adress

• Kontouppgifter

• Inloggningsuppgifter

• Medlemsnummer

• Position

• Biometrisk data 

• Profildata och konsumtionsmönster

---

Att göra redan nu

 

• Börja med att utse en PersonUppgiftsansvarig.

• Se över information som lämnas till enskilda.

• Se till att sätta interna policies som gör att ni kan följa lagen.

• Se över samtliga leverantörsavtal så att dom gäller även efter maj 2018. 

---

Vilka rättigheter har man som registrerad?

 

• Man har tillgång till sina egna uppgifter, utdrag och information om hanteringen. 

• Rättelse/ uppdatering

• Radering

• Att bli "glömd"

• Begränsning av behandling 

• Dataportabilitet 

• Begränsa automatiserat beslutsfattande och profilering. 

Har man inte vidtagit åtgärder innan maj nästa år så kommer det att kunna utdelas vite på max 4% av omsättningen eller 20 miljoner EUR. 

Vart ska man som Personuppgiftsansvarig börja?

 

• Inled med att föra registerförteckning över alla behandlingar som utförts. 

• Dokumentera policies, regler, processer, organisation, och säkerhetslösningar. 

• Vidta tekniska och organisatoriska säkerhetsåtgärder.

• Se till att utan dröjsmål bidra till att de registrerades rättigheter tillgodoses. 

Man behöver också se till att förebygga incidenter, genom tekniska och organisatoriska åtgärder, vilket då innebär följande: 

- ha inbyggt dataskydd och dataskydd som standard. 

- ha uppförandekoder, bindande regelverk och sekretessavtal. 

- ha rutiner, utbildningar och kontroll. 

- ha tydliga leverantörsavtal. 

Vi är tacksamma att så många kom och tog del av seminariet, vi hoppas kunna erbjuda fler tillfällen i höst kring samma ämne.