Nu är det hög tid att förbereda sig inför den nya dataskyddsförordningen

Sök utbildningar

Nu är det hög tid att förbereda sig inför den nya dataskyddsförordningen

15 mars 2017

Den nya dataskyddsförordningen, The EU General Data Protection Regulation (GDPR) börjar att tillämpas den 28 maj 2018 och kommer att innebära den största förändringen för företag vad gäller hantering av personuppgifter och dataskydd sedan personuppgiftslagen (PuL) infördes.

Förordningen kommer att ersätta dataskyddsdirektivet och därmed personuppgiftslagen. Därför är det läge att sätta sig in i det nya regelverket för att bestämma en strategi för hur verksamheten ska uppfylla förordningens krav när den blir gällande. Under våren 2016 höll vi en intervju med arbetsrättsjuristerna Johan Sundberg och Johan Thörn från DLA Piper om vad den nya dataskyddsförordningen kommer att innebära. Vid den tidpunkten konstaterade advokat Johan Sundberg att majoriteten av svenska företag saknar nog med interna resurser eller tillräcklig kunskap att hantera den nya dataskyddsförordningen.

Utmaningarna kring den nya dataskyddsförordningen har flera dimensioner. Företag behöver bland annat se över interna program för verksamhetens hantering av personuppgifter så att de uppfyller förordningens krav. Behandling av personuppgiftsfrågor är också något som behöver prioriteras. Härtill finns också många tekniska aspekter att ta hänsyn till – det vill säga att man använder ett IT-system som kan lämna ut personuppgifter i enlighet med förordningens krav om dataportabilitet. Sedan är det viktigt att rätt personer i organisationen har rätt kunskap, då det är den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs – vilket är av stor vikt i förordningen.

Förbered med åtgärder och rutiner
De företag som idag har arbetat med åtgärder och rutiner för att följa personuppgiftlagens regler har bra grundförutsättningar att för bemöta den nya förordningen. Trots det kommer dataskyddsförordningen medföra vissa helt nya bestämmelser. Vilket innebär att företag behöver införa, eller omarbeta, rutiner inför dataskyddsförordningens utökade krav kring bland annat öppenhet och de registrerades rättigheter. Detta är något som kan ha betydelsefull påverkan på budget, IT-system, personal, styrning och kommunikation.

Misskötsel med behandling av personuppgifter kan bli en dyrköpt lärdom. Tillsynsmyndigheten kommer att ha möjlighet att döma ut administrativa sanktionsavgifter på upp till det högsta av 20 miljoner euro eller fyra procent av  organisationens årsomsättning.

Några områden att se över redan idag
Inför den nya förordningen rekommenderar Datainspektionen att man inventerar och dokumenterar vilka personuppgifter man hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Därtill bör man också särskilt undersöka om behandling av personuppgifter som idag stödjer sig på den så kallade missbruksregeln är förenlig med dataskyddsförordningens bestämmelser.

Det är också läge att granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra. Härtill är det viktigt att se över de rutiner som används för att säkerställa att alla rättigheter som de registrerade har enligt dataskyddsförordningen uppfylls, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format.

Ett annat område som har stor betydelse är inhämtandet av samtycke, vilken information som lämnas ut och hur samtycke som har lämnats av den registrerade dokumenteras och lagras. Se också till att utifrån dataskyddsförordningens regler bygga in skydd för personuppgifter när ni tar fram nya eller ändrar befintliga IT-system.

Redan i den befintliga personuppgiftslagen finns en hel del regler och grundprinciper som är av betydelse att känna till. Än viktigare är att veta vilka regler eller principer som kvarstår i den nya dataskyddsförordningen och hur kraven att förhålla sig till dessa ser ut.

Nu är tiden att förbereda sig med den rätta kunskapen, förståelse för förändringarnas omfattning och framförallt hur man praktiskt går tillväga. Skaffa dig kunskap om de förändringar som kommer att ske i samband med att dataskyddsförordningen träder i kraft och öka din förståelse för vad förändringarna i praktiken kommer att innebära för din verksamhet.

Arbetsrättsjuristerna Johan Sundberg och Johan Thörn från DLA Piper håller under hösten kursen Den nya dataskyddsförordningen för dig inom HR hos BG Institute. Kursen går utifrån ett HR-perspektiv igenom regelverket gällande den nya dataskyddsförordningen och hur du lägger upp en strategi för att din verksamhet ska kunna uppfylla dataförordningens krav. De håller även kursen Den nya dataskyddsförordningen riktad mot advokater och jurister som arrangeras under både våren och hösten hos BG Institute.