EU:s dataskyddsförordning fr.o.m. den 25 maj 2018

EU har beslutat om ett nytt regelverk för behandling av personuppgifter. Det är den s.k. Dataskyddsförordningen även kallad GDPR. Syftet med Dataskyddsförordningen är i huvudsak att än mer skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

Förordningen ska börja tillämpas i medlemsstaterna den 25 maj 2018, d.v.s. om mindre än ett år. Dataskyddsförordningen ersätter Personuppgiftslagen (PUL), som gäller sedan 1988, men mycket kommer i princip vara oförändrat.  Till exempel:

  • Struktur och begrepp.  T.ex. begreppen ”Personuppgift” d.v.s. varje upplysning som avser en identifierad eller identifierbar person och ”Personuppgiftsansvarig”, d.v.s. en fysisk eller juridisk person som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
  • Tillämpningsområdet d.v.s. behandling av personuppgifter som helt eller delvis är automatiserad.
  • Att man måste ha en rättslig grund för att hantera personuppgifter, t.ex. lagstöd eller samtycke.
  • Förbud mot registrering av känsliga personuppgifter.
  • Förbud mot överföring av personuppgifter till tredje land.

Det nya regelverket kommer att innebära att företag måste förändra/inrätta rutiner när det gäller dataskydd. Viktiga förändringar är bland annat:

  • Skyldighet att dokumentera behandling av personuppgifter och bl.a. vilken grund man stödjer sig på.
  • Kunna styrka att behandlingen av personuppgifter följer Dataskyddsförordningens principer/bestämmelser.
  • Utökad informationsskyldighet till den registrerade.
  • Förordningen innehåller också generella regler om när personuppgiftsbehandling får ske inom hälso- och sjukvård. Det kan nämnas i sammanhanget att det utreds i vilken mån reglerna i Patientdatalagen (PDL) behöver anpassas till förordningens regler.  Patientdatalagen (PDL) tillämpas som bekant vid vårdgivares behandling av personuppgifter. Notera dock att PDL enbart innehåller särbestämmelser och förtydliganden som det bedömts föreligga behov av. I slutet av augusti presenteras ovan nämnda utredning. Läs mer om utredningen på Regeringens hemsida .
  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter denne själv lämnat i ett särskilt format för att kunna föra över dem till en annan tjänst, det kallas dataportabilitet.
  • Företaget måste säkerställa säkerhetsnivån gällande personuppgifterna.
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, kan företaget behöva anmäla det till Datainspektionen inom 72 timmar. Även de registrerade kan behöva informeras.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om företaget tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter. Avgiften uppgår till maximalt 10 000 000 euro.

Vi kommer att återkomma med ytterligare information efter att angiven utredning är klar.

Läs mer på Datainspektions hemsida – dataskyddsreformen.