BA INFORMERAR
Den nya
Dataskyddsförordningen
Dataskyddsförordningen träder i kraft den 25 maj 2018 och kommer att
ersätta den nuvarande personuppgiftslagen (PuL). Dataskyddsförord­
ningen kommer att gälla som lag i Sverige och inom hela EU. Förbere­
delsearbetet inför kommande förändringar kommer ta tid och därför
rekommenderar Biltrafikens Arbetsgivareförbund att våra medlemmar
redan nu börjar att fundera över vilka åtgärder som måste vidtas
Dataskyddsförordningen
ersätter PuL
Bakgrunden till att Dataskyddsförord­
ningen ersätter PuL är att alla medlems­
staterna i EU ska ha ett och samma
regelverk som tillämpas på samma
sätt. Det finns också ett behov av en
lagstiftning som är uppdaterad utifrån
nuvarande digitala förutsättningar,
exempelvis molntjänster, sociala nätverk,
platstjänster med mera. Nedan finner du
några av de förändringar som den nya
lagstiftningen kommer att innebära.
Det kommer att finnas möjligheter till
nationella avvikelser från Dataskyddsför­
ordningen och under år 2017 kommer
besked om vilka särregleringar som Sverige
avser att införa.
De viktigaste nyheterna
för företag
Konsekvensbedömning
Om ett företag har för avsikt att hantera
personuppgifter på ett sätt som kan
medföra stora integritetsrisker måste
organisationen göra en noggrann analys
av vilka konsekvenser behandlingen kan
få för enskilda. Riskfylld behandling kan
exempelvis vara omfattande register
som innehåller känsliga personuppgifter,
profilering eller storskalig kameraöver­
vakning på allmän plats. Skulle analysen
visa att integritetsrisken är hög, måste
företaget kontakta tillsynsmyndigheten
Datainspektionen (DI) som i sin tur gör
en förhandskontroll för att säkerställa att
sättet att samla in och hantera person­
uppgifter är lagligt.
76
SVENSK ÅKERITIDNING 3/2017
Skärpt krav på samtycke
Personuppgifter kan antingen insamlas
med uttryckligt stöd av lagen eller genom
samtycke från den som är berörd.
Många företag har inte tydligt angivit
vilket rättsligt stöd de har för att be­
handla personuppgifter. Dataskyddsför­
ordningen kommer att innehålla krav
på att information om den rättsliga
grunden lämnas redan när uppgifter­
na samlas in. Det är därför viktigt att
redan från början ha klart för sig med
vilket stöd detta sker. Dessutom är ett
flertal av de registrerades rättigheter
beroende av den rättsliga grunden för
behandlingen.
Ett giltigt samtycke enligt Dataskydds­
förordningen kommer att ha samma
innebörd som i PuL men kraven som
ställs på vad som krävs för att det ska
vara ett giltigt samtycke kommer att
skärpas. Ett giltigt samtycke måste
vara frivilligt, specifikt, informerat och
otvetydigt. Exempelvis kommer inte ett
tyst samtycke eller en förkryssad ruta
att räcka som ett giltigt samtycke när
Dataskyddsförordningen träder i kraft.
Den som behandlar personuppgifter
med stöd av samtycke måste kunna visa
att ett sådant samtycke har lämnats.
Ostrukturerat material
Enligt PuL gäller inte lagens hanterings­
regler för material som är ostrukturerat.
Det innebär att löpande text i ordbe­
handlingssystem/på internet, osorterade
handlingar i en pärm, ljud- och bildupp­
tagningar och korrespondens per e-post
inte omfattas av lagens bestämmelser.
Förenklingen innebär i princip att ett
företag fritt får utföra vardaglig ostruk­
turerad personuppgiftsbehandling, så
länge inte personen uppgifterna avser
blir kränkt.
Detta undantag kommer att upphöra
i samband med att Dataskyddsförord­
ningen träder i kraft. Ni bör därför se över
er hantering och hitta en laglig grund för
hantering av personuppgifter utifrån den
nya Dataskyddsförordningen.
Krav på privacy by design
IT-system, som GPS och alkolås i fordon,
ska vara konstruerade enligt principen
”privacy by design”. Det innebär att syste­
met ska vara designat så att det har ett
inbyggt skydd för den personliga integri­
teten. Systemet (GPS/alkolåset) bör inte
samla in mer information än vad som
behövs, inte spara informationen längre
än nödvändigt och enbart använda infor­
mationen till det specifika ändamålet.
Det är viktigt att i god tid säkerställa att
de IT-system som ni använder inom ert
företag uppfyller kraven. Dubbelkolla
med era leverantörer och/eller person­
uppgiftsbiträde (läs mer om personupp­
giftsbiträden nedan) om du är osäker
på om era IT-system enbart samlar in
personuppgifter som är kopplade till det
tilltänkta syftet. Lagra inte dessa uppgifter
längre än nödvändigt och använd inte
de insamlade uppgifterna till någonting
annat än det ursprungliga syftet.
Incidentrapportering
Dataskyddsförordningen kommer att
ställa krav på incidentrapportering om
ett företag genom exempelvis ett datain­
trång tappar kontroll över personuppgifter.
Om så sker måste företaget informera de
enskilda vars personuppgifter berörs. Vid
allvarligare incidenter ska företaget även
kontakta den ansvariga tillsynsmyndig­
heten DI. En allvarligare incident kan till
exempel vara att personuppgifter läckt ut
som kan leda till diskriminering, id-stöld,
bedrägeri eller finansiella förluster för de
enskilt drabbade.
Personuppgiftbiträdets roll
Ett personuppgiftsbiträde är någon
som behandlar personuppgifter för
den personuppgiftsansvariges räkning.
Biträdet finns alltid utanför den per­
sonuppgiftsansvariges organisation och
kan till exempel vara en servicebyrå som
behandlar personuppgifter på uppdrag
av ett företag eller en myndighet.
Biträdet får bara behandla personupp­
gifterna enligt givna instruktioner och
riktlinjer från den personuppgiftsansvarige.
Biträdet bestämmer således inte själv
för vilka ändamål personuppgifterna ska
behandlas.
Personuppgiftsansvaret kan inte
överlåtas från en personuppgiftsansvarig
till biträdet utan det är alltid den person­
uppgiftsansvarige som har ansvaret
gentemot de registrerade. De personer
vars uppgifter behandlas har alltid rätt
att vända sig till den personuppgifts­
ansvarige och framställa eventuella krav
eller klagomål på felaktig behandling av
personuppgifter.
Definitionen av ett personuppgifts­
biträde kommer att vara densamma även
efter att Dataskyddsförordningen börjat
gälla. Den stora förändringen kommer
att vara att förordningen ställer större
krav på personuppgiftsbiträdet, denne
kommer enligt de nya reglerna att
omfattas av i princip samma ansvar och
skyldigheter som den personuppgifts­
ansvarige.
De viktigaste nyheterna
för enskilda individer
Rätt till information
Enskilda individers rättigheter kommer
att stärkas i och med den nya lagstift­
ningen. Det kommer bland annat bli
strängare krav på att företag och andra
organisationer måste informera om hur
de hanterar personuppgifter. Trots det
utökade informationskravet ska informa­
tionen ändå vara lättläst och koncis.
Rätten att bli bortglömd
EU-domstolen har meddelat att det
ska vara möjligt för enskilda att begära
att sökmotorer som Google, Yahoo och
Bing tar bort resultat för sökfrågor som
innehåller deras namn i de fall resultaten
är oriktiga, irrelevanta och överflödiga.
Det kallas ”rätten att bli bortglömd”
och denna rättighet kommer att finnas
inskriven i den nya Dataskyddsförord­
ningen.
Rätten till dataportabilitet
En annan nyhet för enskilda är rätten
till ”dataportabilitet”, vilket ska göra det
enklare för personer att flytta sina
uppgifter från exempelvis ett socialt
nätverk till ett annat.
Datainspektionens roll
DI kommer även fortsättningsvis att vara
ansvarig tillsynsmyndighet och har fått
i uppdrag att informera om Dataskydd­
förordningen genom utbildningar och
informationsmaterial.
Vid mindre överträdelser ska DI i första
hand utdöma en reprimand. Person­
uppgiftsansvarige och/eller person­
uppgiftsbiträdet kommer då beredas
möjlighet att korrigera den felaktiga
hanteringen.
Vid allvarliga överträdelser av
förordningen riskerar både personupp­
giftsansvarige och personuppgiftsbiträde
att drabbas av administrativa sanktions­
avgifter. DI kommer att ha möjlighet att
utdöma en administrativ sanktionsavgift
om maximalt 20 miljoner euro eller 4
procent av företagets omsättning.
Checklista
På DI:s hemsida finns en checklista till
hjälp för förberedelsearbetet som vi
rekommenderar er att gå igenom.
VILL DU VETA MER?
Välkommen att kontakta
Biltrafikens Arbetsgivareförbund
Postadress: Box 5384
102 49 STOCKHOLM
Besöksadress: Storgatan 19
Tel: 08-762 71 00 • Fax: 08-611 46 99
E-post: [email protected]
www.transportforetagen.se
Nedan följer några exempel på fråge­
ställningar som ni bör gå igenom som en
del av förberedelsearbetet:
•
•
•
•
•
•
•
•
•
•
Vilka personuppgifter hanterar ni, hur
samlar ni in dem och till vem lämnar
ni ut uppgifterna?
Använder ni undantaget idag för att
behandla ostrukturerat material? Om
ja, undersök möjligheten att stödja
personuppgiftsbehandlingen på en
annan laglig grund i förordningen.
Vilken information lämnar ni ut till era
anställda idag avseende behandling
av personuppgifter och behöver den
informationen revideras?
Hur ska ni tillmötesgå de registrerades
förstärkta rättigheter som finns i den
nya förordningen?
Vilket rättsligt stöd har ni för att
behandla de olika personuppgifterna
inom er organisation?
Om ni inhämtar samtycke i något
avseende (ej rekommenderat i arbets­
livet) ska ni säkerställa hur ni inhämtar
samtycke, vilken information ni lämnar
ut och hur ni sparar uppgifterna.
Hur ska er organisation hantera person­
uppgiftsincidenter? Det bör finnas
rutiner för att upptäcka, rapportera
och utreda incidenter.
Hanterar ni personuppgifter som
medför särskilda integritetsrisker? Om
svaret är ja ska ni göra en konsekvens­
bedömning avseende dataskydd.
Uppfyller IT-systemen/GPS/alkolås
med mera kravet på privacy by design
(inbyggd integritet)?
Vem är ansvarig för dataskyddsfrågor
inom er organisation?
Du kan också kontakta något av våra
nio regionkontor:
OrtTelefonnummer
Umeå
08-762 71 00
Sundsvall
060-16 73 00
Falun
023-580 00
Stockholm
08-762 71 00
Örebro
019-19 57 00
Jönköping
036-30 32 00
Göteborg
031-62 94 00
Växjö
0470-74 84 00
Malmö
040-35 25 00
SVENSK ÅKERITIDNING 3/2017
77