Businesswoman at work

Övertramp i nya dataskyddsförordningen kan bli mycket kostsamt

25 maj 2018 införs en ny, skärpt dataskyddsförordning avseende hantering av personuppgifter. Den kallas för GDPR (General Data Protection Regulation) och ersätter PuL (personuppgiftslagen).

GDPR är strängare än dagens nationella PuL och övertramp kan bli ekonomiskt mycket kännbara.

Den nya dataskyddsförordningen gäller företag och organisationer som har ett kund-, löne- eller personalregister eller som i andra sammanhang hanterar personuppgifter.

– Alla som hanterar uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person måste sätta sig in i förordningen och vilka konsekvenser den har för verksamheten, säger Göran Björklund, PR-konsult på Newsroom.

Om det skulle ske övertramp eller om uppgifter skulle missbrukas, kan det bli mycket kostsamt. Företag kan få böter på 20 miljoner euro eller fyra procent av koncernens globala omsättning.

Här är de viktigaste nyheterna i dataskyddsförordningen jämfört med personuppgiftslagen:

  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst. Det kallas dataportabilitet.
  • Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
  • Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
  • I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.

Källa: Datainspektionen

För mer information, kontakta:

Göran Björklund, 031-712 40 06