BA INFORMERAR Den nya Dataskyddsförordningen Dataskyddsförordningen träder i kraft den 25 maj 2018 och kommer att ersätta den nuvarande personuppgiftslagen (PuL). Dataskyddsförord­ ningen kommer att gälla som lag i Sverige och inom hela EU. Förbere­ delsearbetet inför kommande förändringar kommer ta tid och därför rekommenderar Biltrafikens Arbetsgivareförbund att våra medlemmar redan nu börjar att fundera över vilka åtgärder som måste vidtas Dataskyddsförordningen ersätter PuL Bakgrunden till att Dataskyddsförord­ ningen ersätter PuL är att alla medlems­ staterna i EU ska ha ett och samma regelverk som tillämpas på samma sätt. Det finns också ett behov av en lagstiftning som är uppdaterad utifrån nuvarande digitala förutsättningar, exempelvis molntjänster, sociala nätverk, platstjänster med mera. Nedan finner du några av de förändringar som den nya lagstiftningen kommer att innebära. Det kommer att finnas möjligheter till nationella avvikelser från Dataskyddsför­ ordningen och under år 2017 kommer besked om vilka särregleringar som Sverige avser att införa. De viktigaste nyheterna för företag Konsekvensbedömning Om ett företag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker måste organisationen göra en noggrann analys av vilka konsekvenser behandlingen kan få för enskilda. Riskfylld behandling kan exempelvis vara omfattande register som innehåller känsliga personuppgifter, profilering eller storskalig kameraöver­ vakning på allmän plats. Skulle analysen visa att integritetsrisken är hög, måste företaget kontakta tillsynsmyndigheten Datainspektionen (DI) som i sin tur gör en förhandskontroll för att säkerställa att sättet att samla in och hantera person­ uppgifter är lagligt. 76 SVENSK ÅKERITIDNING 3/2017 Skärpt krav på samtycke Personuppgifter kan antingen insamlas med uttryckligt stöd av lagen eller genom samtycke från den som är berörd. Många företag har inte tydligt angivit vilket rättsligt stöd de har för att be­ handla personuppgifter. Dataskyddsför­ ordningen kommer att innehålla krav på att information om den rättsliga grunden lämnas redan när uppgifter­ na samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Ett giltigt samtycke enligt Dataskydds­ förordningen kommer att ha samma innebörd som i PuL men kraven som ställs på vad som krävs för att det ska vara ett giltigt samtycke kommer att skärpas. Ett giltigt samtycke måste vara frivilligt, specifikt, informerat och otvetydigt. Exempelvis kommer inte ett tyst samtycke eller en förkryssad ruta att räcka som ett giltigt samtycke när Dataskyddsförordningen träder i kraft. Den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett sådant samtycke har lämnats. Ostrukturerat material Enligt PuL gäller inte lagens hanterings­ regler för material som är ostrukturerat. Det innebär att löpande text i ordbe­ handlingssystem/på internet, osorterade handlingar i en pärm, ljud- och bildupp­ tagningar och korrespondens per e-post inte omfattas av lagens bestämmelser. Förenklingen innebär i princip att ett företag fritt får utföra vardaglig ostruk­ turerad personuppgiftsbehandling, så länge inte personen uppgifterna avser blir kränkt. Detta undantag kommer att upphöra i samband med att Dataskyddsförord­ ningen träder i kraft. Ni bör därför se över er hantering och hitta en laglig grund för hantering av personuppgifter utifrån den nya Dataskyddsförordningen. Krav på privacy by design IT-system, som GPS och alkolås i fordon, ska vara konstruerade enligt principen ”privacy by design”. Det innebär att syste­ met ska vara designat så att det har ett inbyggt skydd för den personliga integri­ teten. Systemet (GPS/alkolåset) bör inte samla in mer information än vad som behövs, inte spara informationen längre än nödvändigt och enbart använda infor­ mationen till det specifika ändamålet. Det är viktigt att i god tid säkerställa att de IT-system som ni använder inom ert företag uppfyller kraven. Dubbelkolla med era leverantörer och/eller person­ uppgiftsbiträde (läs mer om personupp­ giftsbiträden nedan) om du är osäker på om era IT-system enbart samlar in personuppgifter som är kopplade till det tilltänkta syftet. Lagra inte dessa uppgifter längre än nödvändigt och använd inte de insamlade uppgifterna till någonting annat än det ursprungliga syftet. Incidentrapportering Dataskyddsförordningen kommer att ställa krav på incidentrapportering om ett företag genom exempelvis ett datain­ trång tappar kontroll över personuppgifter. Om så sker måste företaget informera de enskilda vars personuppgifter berörs. Vid allvarligare incidenter ska företaget även kontakta den ansvariga tillsynsmyndig­ heten DI. En allvarligare incident kan till exempel vara att personuppgifter läckt ut som kan leda till diskriminering, id-stöld, bedrägeri eller finansiella förluster för de enskilt drabbade. Personuppgiftbiträdets roll Ett personuppgiftsbiträde är någon som behandlar personuppgifter för den personuppgiftsansvariges räkning. Biträdet finns alltid utanför den per­ sonuppgiftsansvariges organisation och kan till exempel vara en servicebyrå som behandlar personuppgifter på uppdrag av ett företag eller en myndighet. Biträdet får bara behandla personupp­ gifterna enligt givna instruktioner och riktlinjer från den personuppgiftsansvarige. Biträdet bestämmer således inte själv för vilka ändamål personuppgifterna ska behandlas. Personuppgiftsansvaret kan inte överlåtas från en personuppgiftsansvarig till biträdet utan det är alltid den person­ uppgiftsansvarige som har ansvaret gentemot de registrerade. De personer vars uppgifter behandlas har alltid rätt att vända sig till den personuppgifts­ ansvarige och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter. Definitionen av ett personuppgifts­ biträde kommer att vara densamma även efter att Dataskyddsförordningen börjat gälla. Den stora förändringen kommer att vara att förordningen ställer större krav på personuppgiftsbiträdet, denne kommer enligt de nya reglerna att omfattas av i princip samma ansvar och skyldigheter som den personuppgifts­ ansvarige. De viktigaste nyheterna för enskilda individer Rätt till information Enskilda individers rättigheter kommer att stärkas i och med den nya lagstift­ ningen. Det kommer bland annat bli strängare krav på att företag och andra organisationer måste informera om hur de hanterar personuppgifter. Trots det utökade informationskravet ska informa­ tionen ändå vara lättläst och koncis. Rätten att bli bortglömd EU-domstolen har meddelat att det ska vara möjligt för enskilda att begära att sökmotorer som Google, Yahoo och Bing tar bort resultat för sökfrågor som innehåller deras namn i de fall resultaten är oriktiga, irrelevanta och överflödiga. Det kallas ”rätten att bli bortglömd” och denna rättighet kommer att finnas inskriven i den nya Dataskyddsförord­ ningen. Rätten till dataportabilitet En annan nyhet för enskilda är rätten till ”dataportabilitet”, vilket ska göra det enklare för personer att flytta sina uppgifter från exempelvis ett socialt nätverk till ett annat. Datainspektionens roll DI kommer även fortsättningsvis att vara ansvarig tillsynsmyndighet och har fått i uppdrag att informera om Dataskydd­ förordningen genom utbildningar och informationsmaterial. Vid mindre överträdelser ska DI i första hand utdöma en reprimand. Person­ uppgiftsansvarige och/eller person­ uppgiftsbiträdet kommer då beredas möjlighet att korrigera den felaktiga hanteringen. Vid allvarliga överträdelser av förordningen riskerar både personupp­ giftsansvarige och personuppgiftsbiträde att drabbas av administrativa sanktions­ avgifter. DI kommer att ha möjlighet att utdöma en administrativ sanktionsavgift om maximalt 20 miljoner euro eller 4 procent av företagets omsättning. Checklista På DI:s hemsida finns en checklista till hjälp för förberedelsearbetet som vi rekommenderar er att gå igenom. VILL DU VETA MER? Välkommen att kontakta Biltrafikens Arbetsgivareförbund Postadress: Box 5384 102 49 STOCKHOLM Besöksadress: Storgatan 19 Tel: 08-762 71 00 • Fax: 08-611 46 99 E-post: [email protected] www.transportforetagen.se Nedan följer några exempel på fråge­ ställningar som ni bör gå igenom som en del av förberedelsearbetet: • • • • • • • • • • Vilka personuppgifter hanterar ni, hur samlar ni in dem och till vem lämnar ni ut uppgifterna? Använder ni undantaget idag för att behandla ostrukturerat material? Om ja, undersök möjligheten att stödja personuppgiftsbehandlingen på en annan laglig grund i förordningen. Vilken information lämnar ni ut till era anställda idag avseende behandling av personuppgifter och behöver den informationen revideras? Hur ska ni tillmötesgå de registrerades förstärkta rättigheter som finns i den nya förordningen? Vilket rättsligt stöd har ni för att behandla de olika personuppgifterna inom er organisation? Om ni inhämtar samtycke i något avseende (ej rekommenderat i arbets­ livet) ska ni säkerställa hur ni inhämtar samtycke, vilken information ni lämnar ut och hur ni sparar uppgifterna. Hur ska er organisation hantera person­ uppgiftsincidenter? Det bör finnas rutiner för att upptäcka, rapportera och utreda incidenter. Hanterar ni personuppgifter som medför särskilda integritetsrisker? Om svaret är ja ska ni göra en konsekvens­ bedömning avseende dataskydd. Uppfyller IT-systemen/GPS/alkolås med mera kravet på privacy by design (inbyggd integritet)? Vem är ansvarig för dataskyddsfrågor inom er organisation? Du kan också kontakta något av våra nio regionkontor: OrtTelefonnummer Umeå 08-762 71 00 Sundsvall 060-16 73 00 Falun 023-580 00 Stockholm 08-762 71 00 Örebro 019-19 57 00 Jönköping 036-30 32 00 Göteborg 031-62 94 00 Växjö 0470-74 84 00 Malmö 040-35 25 00 SVENSK ÅKERITIDNING 3/2017 77