MyFondia VirtuellaJuristen

Den nya dataskyddsförordningen (GDPR)

Den 25 maj 2018 ersätter EU-förordningen General Data Protection Regulation (GDPR) den nuvarande personuppgiftslagen (PUL). Reglerna i den nya förordningen kommer att innebära en del praktiska skillnader för dig som företagare och det finns anledning att redan nu se över hur personuppgifter behandlas i din verksamhet.

Dataskyddsförordningen (GDPR)

Den nya dataskyddsförordningen innebär att reglerna om hantering av personuppgifter får större praktiskt genomslag än tidigare. Det beror dels på att individen ges starkare verktyg för att tillvarata sin rätt, dels på att mer kännbara sanktioner kan drabba företag som inte följer reglerna. Nedan följer en kort sammanställning över de största skillnaderna som ditt företag bör tänka på inför omställningen.

Missbruksregeln försvinner

Den s.k. missbruksregeln har tillåtit att personuppgifter behandlas i löpande text och i enkla listor utan laglig grund, så länge det inte gjorts på ett kränkande sätt. Något undantag för den typen av behandling kommer däremot inte finnas efter den 25 maj nästa år. Då kommer istället all behandling av personuppgifter behöva uppfylla någon av de lagliga grunderna som framgår i förordningen (t.ex. samtycke, fullgörande av avtal, rättslig förpliktelse, berättigat intresse etc.).

Starkare skydd för individen

Den registrerade har rätt att få information om hur dennes personuppgifter behandlas. Den registrerade har även rätt att få sina uppgifter raderade, ändrade, flyttade eller blockerade.

Kravet på samtycke skärps

Kravet på ett giltigt samtycke stärks och får inte längre ske genom en på förhand ikryssad ruta eller genom fortsatt användning av en tjänst. Samtycket måste vara individuellt, frivilligt, specifikt, informerat och otvetydigt. Ett samtycke ska även närsomhelst kunna dras tillbaka av den registrerade.

Personuppgiftsansvarig eller personuppgiftsbiträde?

I många verksamheter sker hantering av personuppgifter av eller för en extern part. Då är det viktigt att veta om du är personuppgiftsansvarig (den som själv bestämmer över behandlingen) eller personuppgiftsbiträde (den som utför behandling på uppdrag av någon annan). Ansvaret för personuppgiftsbiträden blir mer omfattande och det ställs krav på att det ska finnas ett personuppgiftsbiträdesavtal mellan biträdet och den ansvarige, som tydligt reglerar hur behandling får ske.

Hårdare krav på tekniska lösningar

Två nygamla principer, Privacy by Design och Privacy by Default , gäller för hantering av personuppgifter i och med den nya förordningen. Principerna innebär att uppgiftsskydd ska vara inbyggt i tekniken. Detta kan exempelvis innebära automatisk rensning av lagrade uppgifter eller opt-in mekanismer, samt att integritetsinställningar bör vara förinställda så att de stämmer överens med reglerna i förordningen.

Hårdare sanktioner

Tidigare har kontrollen av efterlevnaden av PUL varit minst sagt passiv. I och med GDPR tar dock EU ett krafttag och inför kännbara böter vid brott mot reglerna. Företag kan bötfällas med upp till 20 000 000 EUR eller fyra procent av företagets totala, globala, årliga omsättning.

Ställ en fråga till våra jurister
Våra 110 experter är redo för din juridiska utmaning.

Ställ en fråga till oss?

1. Vem är du?
2. Hur kan vi hjälpa dig?
Tack för kontakt!

Ställ en fråga till våra jurister

1. Vem är du?
2. Hur kan vi hjälpa dig?
Tack för kontakt!