Är ditt företag redo för ”nya PUL”?

Snart ersätts personuppgiftslagen (“PUL”) med nya regler från EU. Vet du vad som gäller för er organisation?

I maj 2018 träder EU:s nya allmänna dataskyddsförordning (the EU General Data Protection Regulation (ofta benämnd “GDPR”) ikraft, och blir då direkt tillämplig i EU:s samtliga medlemsstater (reglerna kommer även att införas i Norge och övriga länder inom EES). I Sverige kommer den nya förordningen att helt ersätta nuvarande personuppgiftslagen (“PUL”). De främsta syftena bakom den nya förordningen är att i) stärka medborgarnas friheter och rättigheter, ii) öka harmoniseringen mellan EU:s medlemsstater och därmed underlätta för den inre marknaden, samt iii) uppdatera lagstiftningen till dagens digitaliserade värld med en snabbt ökande användning av t ex molntjänster och sociala medier.

Dataskyddsförordningen gäller för både privata och offentliga företag och organisationer. Det betyder att alla behöver förbereda sig för den nya lagstiftningen. Den bygger vidare på samma grundläggande principer och definitioner som finns i PUL, men den innehåller också ett antal nyheter. Några viktiga nyheter att notera är:

  • Risk för (mycket) höga administrativa sanktionsavgifter vid brott mot lagen (upp till maximalt det högsta beloppet av 4 % av årlig omsättning eller 20 miljoner Euro!). Det här medför att riskerna med att inte följa reglerna ökar väsentligt, och det gäller även efterlevnaden av sådana bestämmelser som inte annars skärps. Den ökade risken kommer att tvinga fram ett ökat fokus på behandlingen av personuppgifter inom alla företag och organisationer, vilket man också kan anta har varit avsikten.
  • Rättigheterna för de registrerade stärks, bland annat i form av mer detaljerade krav på information, hur samtycke ska utformas och hanteras, ökade rättigheter att få tillgång till sina personuppgifter tillsammans med detaljerad information om behandlingen, begära begränsning av behandling, få uppgifter raderade och att under vissa förutsättningar föra över personuppgifter från en personuppgiftsansvarig till en annan (data portability).
  • Det tidigare svenska undantaget för så kallat ostrukturerat material(missbruksregeln i 5 a § PUL) försvinner.
  • Den personuppgiftsansvarige (den som bestämmer ändamål och syfte med behandlingen, t ex arbetsgivaren) ska kunna visa att behandlingen av personuppgifter uppfyller dataskyddsförordningens krav. Det här gör det nödvändigt att ta fram lämpliga policyer och att dokumentera processer, och att sedan också efterleva dem.
  • Till skillnad från PUL, träffar dataskyddsförordningen också personuppgiftsbiträden (den som behandlar uppgifter för en personuppgiftsansvarigs räkning, exempelvis en molntjänstleverantör) direkt. De får bland annat en egen skyldighet att vidta nödvändiga tekniska och organisatoriska åtgärder för att uppnå tillräcklig säkerhet vid behandling av personuppgifter för en personuppgiftsansvarigs räkning.
  • Eventuella personuppgiftsincidenter ska meddelas till Datainspektionen, som huvudregel inom 72 timmar. Ett personuppgiftsbiträde ska istället meddela den personuppgiftsansvarige utan onödigt dröjsmål. Både personuppgiftsansvariga och personuppgiftsbiträden behöver därför ha interna processer på plats för hantering av incidenter.

Som leverantör av produkter och tjänster inom HR och lön, förbereder sig Aditro naturligtvis aktivt för att säkerställa att vi kan efterleva dataskyddsförordningen senast i maj 2018. I ett första steg slutfördes under sommaren 2016 en gapanalys av de produkter och tjänster som vi erbjuder våra kunder. I nästa steg definierar vi nu nödvändiga åtgärder,och en plan för implementation. . Under 2017 kommer vi att genomföra definierade åtgärder, liksom nödvändig utbildning annan kommunikation, för att säkerställa att vi uppfyller kraven i dataskyddsförordningen allra senast i maj 2018.

Varje företag eller organisation måste utvärdera effekterna av dataskyddsförordningen i sin verksamhet, och vidta nödvändiga åtgärder. Vi uppmanar alla våra kunder att påbörja sina förberedelser redan nu. Då arbetet kan komma att kräva betydande resurser är det nödvändigt att vara ute i god tid!

För att hjälpa er att komma igång, har vi satt ihop en enkel checklista:

  1. Kartlägg vilka personuppgifter ni behandlar, och för vilket syfte.
  2. Gör en bedömning av lagliga grunder för behandlingen (t ex avtal, intresseavvägning, samtycke).
  3. Används missbruksregeln (5 a § PUL) idag?
  4. Utvärdera tekniska möjligheter och processer för att hantera de registrerades rättigheter (t ex att korrigera felaktiga uppgifter, radera uppgifter, få tillgång till uppgifter, flytta uppgifter).
  5. Se över informationen som lämnas till de registrerade.
  6. Ta fram en rutin för hantering av personuppgiftsincidenter.
  7. Utse en ansvarig person för dataskyddsfrågor (eventuellt ett dataskyddsombud).
  8. Ta fram en rutin för konsekvensanalyser.
  9. Utbilda personalen.
  10. Se över personuppgiftsbiträdesavtal med anlitade personuppgiftsbiträden.

Ytterligare information om dataskyddsförordningen och vägledning för att komma igång med förberedelserna finns hos Datainspektionen (http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/).

Vi kan också förvänta oss att det kommer ytterligare vägledningar och förtydliganden under tiden fram till maj 2018, så håll utkik!

Vill du veta mer om våra system? Läs mer om vårt erbjudande inom lön och HR här.

Leave a comment

E-postadressen publiceras inte. Obligatoriska fält är märkta *