Go to Top

Vad innebär EU:s nya dataskyddsförordning?

2012 lade Europeiska kommissionen fram en reform av uppgiftsskyddet för att anpassa sig efter den digitala tidsåldern (IP/12/46). Efter flera års diskussioner på EU-nivå har det tagits fram ett förslag till dataskyddsförordning som klubbades igenom i Europaparlamentet 15 december 2015.

Förordningen kommer att stärka medborgarnas rättigheter och ge dem kontroll över sina personuppgifter samtidigt som den underlättar för företag som har verksamhet i flera olika EU-länder. Den nya förordningen kommer formellt antas i början av 2016 och kommer att träda i kraft 2018 i alla EU-länder. När förordningen träder i kraft kommer den att ersätta EU:s nuvarande dataskyddsdirektiv från 1995 samt nationella regler som den svenska personuppgiftslagen.

 Reformen består av två delar

* Den allmänna uppgiftsskyddsförordningen gör det möjligt för människor att få bättre kontroll över sina personuppgifter.

* Uppgiftsskydd för polisen och straffrättsliga sektorn som säkerställer att brottsoffer, vittnen och brottsmisstänkta skyddas på korrekt sätt och kommer att underlätta det gränsöverskridande samarbete mellan polis och domstolar i hela Europa.

 Vad innebär detta för medborgarna?

* Förenklad åtkomst till egna personuppgifter och mer information om hur deras uppgifter behandlas.

* Stärkt rätt att bli “bortglömd”. Om en person inte längre vill att uppgifterna ska behandlas och om det saknas legitima skäl för att behålla dem så måste de raderas.

* Rätt till uppgiftsportabilitet, dvs lättare att överföra personuppgifter mellan tjänsteleverantörer.

* Rätten att få veta när dina uppgifter har hackats

 Vad innebär detta för företag och organisationer?

* Lagen gäller i hela EU även företag med huvudkontor utanför Europa kommer att behöva tillämpa samma regler som EU-företag.

* Företag behöver endast behöver ha kontakt med en tillsynsmyndighet i alla ärenden.

* Riskbaserad tillämpning. Reglerna är anpassade efter respektive risker.

* Innovationsanpassade regler som innebär att uppgiftsskydd ingår redan i utvecklingsstadiet för produkter och tjänster.

* Om ett företag eller organisation blir utsatt för dataintrång (eller på något annat sätt tappar kontroll över personuppgifter) så måste bolaget informera de personer som informationen berör inklusive Datainspektionen.

* Om en organisation hanterar personuppgifter som medför stora integritetsrisker så måste detta föregås en analys, så kallad Data Protection Impact Assessment. Skulle analysen visa att risken är hög, måste bolaget kontakta Datainspektionen som gör en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.

 Vad gäller fram till 2018?

Den svenske personuppgiftslagen (PUL) gäller oförändrat fram till 2018. PUL kommer sedan att ersättas 2018 av den nya EU-lagstiftningen.

Bötesbelopp

Datainspektionen får möjlighet att utfärda böter om du som företag inte kan hantera personuppgifter eller inte anmäler en säkerhetsincident i enighet med de nya direktiven Bötesbeloppet kan uppgå till 4 procent av företagets omsättning (med ett maxbelopp på 20 miljoner euro).

I nästa blogginlägg så redovisar vi en undersökning som vårt moderbolag har gjort samt olika raderingsaspekter på den nya lagstiftningen.

 

Mer information:

Läs regeringens pressmeddelande om EU:s nya dataskyddsförordning

Kommittédirektiv, Dataskyddsförordningen. Beslut vid regeringssammanträde den 25 februari 2016

EU:s sida om dataskydd

Datainspektionens sida om EU:s nya dataskyddsreform

 

 

, ,