I maj 2018 ersattes den svenska personuppgiftslagen PUL av EU:s dataskyddsförordning GDPR, General Data Protection Regulation. Därmed inrättades ett enhetligt regelverk till för att skydda alla EU-medborgare mot olovlig hantering av personuppgifter.

Dataskyddsförordning GDPR innefattar regler om hur juridiska personer – företag, offentliga verksamheter och organisationer – får behandla personuppgifter. Ansvarig myndighet för dataskyddsförordningen i Sverige är Integritetsmyndigheten, tidigare Datainspektionen. Det dataskyddsförordning GDPR skyddar privatpersoner mot är hanteringen av personuppgifter som kan kopplas till den enskilda individen. Utöver systematiskt strukturerad data som samlas i en databas eller annat typ av register inkluderar skyddet allt ifrån hantering av e-postmeddelanden till omnämnanden i exempelvis företagsbloggar. Dataskyddsförordning GDPR berör hantering av personuppgifter i alla typer av format som filmer, bilder, texter och även ljud. Integritetsmyndigheten säger att ansvariga företag och organisationer måste synliggöra hur personuppgifterna som samlas in ska hanteras, registreras eller sparas. Företaget måste berätta vilken information man samlar in, vad man ska göra med information och om man delar informationen med tredje part?

Godkända system enligt med dataskyddsförordningen

Enligt GDPR måste dataskydd ingå i system och digitala verktyg som en inbyggd funktion. För att följa lagar och regler behöver man flexibla lösningar och nödvändiga funktioner som går att anpassa efter företagets verksamhet, rutiner och behov. Miljödatas system Adato, Stella, Opus, Novi och Atlas stödjer alla arbete enligt Dataskyddsförordningen. Om behov eller förutsättningar ändras över tid är det smidigt att addera flera tjänster eller gå över till ett nytt systemen som alla har liknande användarmiljö. Läs mer om dataskyddsförordning GDPR på Integritetsmyndighetens hemsida.

Ha administration och tekniska lösningar på plats

Skärpningen av regelverket innebär en utmaning för företag som måste ha juridisk kunskap i frågan kopplat till den egna verksamheten samt administration och tekniska lösningar på plats. Det räcker inte med att företaget fått godkänt från individer vars uppgifter företaget hanterar. Som företag måste man sätta sig in i det regelverk som gäller. Hanterar ditt företag dessutom särskilt känsliga personuppgifter finns det lagkrav på att ha ett dataskyddsombud, anställd eller en anlitad externt. De juridiska personer som inte följer regelverket riskerar att bötfällas med upp till fyra procent av årsomsättningen eller 20 miljoner euro, det belopp av de två alternativen som är högst.  Om företaget eller organisationen har en världsomspännande verksamhet baseras bötessumman på den globala årsomsättningen. I dataskyddsförordningen finns ett antal allmängiltiga grundregler som måste följas. Grunderna gäller för behandling av alla typer av personuppgifter.

Ansvaret innebär att man:

• alltid måste ha en legal grund för att få handskas med personuppgifter
• ska kunna visa hur och att man lever upp till GDPR
• inte hanterar fler personuppgifter än ändamålen kräver
• endast samlar personuppgifter för särskilt specificerade och berättigade avsikter och syften
• ska säkerställa att personuppgifterna är korrekta
• inom fastslagen tidsram ska radera personuppgifterna när de inte längre behövs
• ska se till att obehöriga inte får till gång till personuppgifterna

När krävs ett dataskyddsombud?

Verksamheter som behandlar känsliga personuppgifter, exempelvis sådant som ingår i personaladministration, faller inom den verksamhetsgrupp som måste ha ett dataskyddsombud. I dessa fall finns det en rad bestämmelser att följa. Det måste finnas en aktiv support från högsta ledning och avdelningar inom organisationen. Dataskyddsombudet måste ha ekonomiska resurser och tillräckligt med tid för att genomföra uppdraget. Ett ofrånkomligt krav är digitala verktyg där dataskyddet ingår som en inbyggd funktion. Programvaran ska vara utformad enligt bestämmelser för att hantera system och processer på ett lagligt sätt. Dataskyddsombudet ska ha yrkesmässig kompetens och vara sakkunnig inom lagstiftning och praxis inom dataskydd och förstå hur personuppgifter hanteras i organisationen. Ansvarigt dataskyddsombud ska även ha förmåga att skapa en gynnsam dataskyddskultur inom organisationen.

Dataskyddsombudet ska ha kunskap om:

• organisationens egna IT-system
• dataskyddsförordningen och dataskyddslagstiftningen
• datasäkerhet
• dataskyddsbehov

I dataskyddsombudets övriga uppdrag får det inte finnas andra typer av ansvar som kan skapa en intressekonflikt. Man kan exempelvis inte ingå i företagets högsta ledningen och samtidigt vara dataskyddsombud. Det lagligt att anlita ett externt dataskyddsombud så länge konsulten lever upp till Integritetsmyndighetens krav som innebär att det externa dataskyddsombudet har tillräcklig kunskap inom dataskydd kopplat till företagets verksamhet.