Den 25 maj 2018 ska EU:s nya dataskyddsförordning börja tillämpas som direkt lagstiftning i Sverige och ersätter då vår nuvarande lagstiftning om personuppgifter, PUL. Det har nog undgått få att det nu kommer att införas ytterligare krav på organisationers hantering av personuppgifter samt att det kommer att bli betydligt mer kostsamt att bryta mot lagstiftningen.

Tillsynsmyndigheten (Datainspektionen) kommer genom dataskyddsförordningen ges möjlighet att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens globala omsättning. Hotet om ökade krav och höga sanktionsavgifter har gjort att frågan om personuppgiftshantering fått en helt ny ställning och har i många organisationer flyttats in i styrelse- eller ledningsrummet.

Ett ökat fokus på integritetsskydd är också det som varit motivet för lagstiftningsarbetet vid sidan av att skapa en enhetlig tillämpning av reglerna inom EU för att underlätta handeln på den interna marknaden.

Införandet ligger som sagt cirka två år fram i tiden vilket kan framstå som en evighet för många. Men; mot bakgrund av att många organisationer i dagsläget inte ens följer vår nuvarande PUL-lagstiftning är det hög tid att organisationer redan idag påbörjar sitt arbete med organisationens personuppgiftshantering för att stå rustade inför förändringarna våren 2018.

En korrekt hantering av personuppgifter är också beroende av fungerande it-system som stödjer och möjliggör för organisationen att följa de krav som uppställs i dataskyddsförordningen. Vid upphandling av ett nytt it-system eller omstrukturering av befintliga it-system kan två år vara försvinnande kort tid, inte minst för en större organisation. Nedan berör jag några av de nyheter i dataskyddsförordningen som organisationer behöver tänka på inför en upphandling eller förändring av organisationens IT-system.

Privacy by design

En av de grundläggande principerna inom integritetsskydd är så kallad uppgiftsminimering, det vill säga man ska inte samla in mer information än vad som är nödvändigt för det aktuella syftet och ändamålet med insamlingen och uppgifterna får heller inte sparas längre än nödvändigt. Organisationen ska vidare vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i dataskyddsförordningen. Vad som är ”lämpliga åtgärder” styrs av uppgiftens art, behandlingens omfattning och syfte samt den risk som individen utsätts för vid behandlingen.

I dataskyddsförordningen uppställs nu ett uttryckligt krav på ”privacy by design” eller ”inbyggt dataskydd” vilket innebär att organisationen redan vid upphandlingen av ett it-system eller vid ändring av befintligt it-system ska ta hänsyn till integritetsskyddet och bygga in funktioner som stödjer detsamma. I klarspråk innebär detta att organisationen inför en upphandling av it behöver göra en ordentlig inventering av hur personuppgiftshanteringen ser ut inom organisationen samt vilka krav som gäller för organisationen för att därmed kunna utforma kravspecifikationen på rätt sätt.

Följande exempel på frågor kan vara till hjälp vid en sådan inventering:

Vilka personuppgifter samlas in och behandlas? Hur samlas personuppgifterna in och vem lämnas uppgifterna ut till? För vilka ändamål behandlas personuppgifterna? Föreligger några särskilda risker för den personliga integriteten hos de registrerade? Vilka säkerhetskrav krävs för uppgifterna? Vem ska ha åtkomst till uppgifterna inom organisationen? Hur länge ska uppgifterna lagras och när ska gallring ske? Hur säkerställer vi att informationskrav och anmälningskrav uppfylls? Vilka tekniska funktioner krävs för att vi ska ha kontroll över uppgifterna och dess behandling?

Informationskrav, rättsligt stöd för behandling och samtycke

Dataskyddsförordningen innehåller utökade krav på den information som ska lämnas till de registrerade. Informationen ska innehålla tydlig angivelse av den rättsliga grunden för behandlingen, ändamålet för behandlingen, hur länge uppgifterna kommer att sparas samt information om var den registrerade kan vända sig med klagomål. Informationen ska vidare vara kortfattad och tydlig. Vill man behandla uppgifter med stöd av samtycke krävs det att samtycket är en frivillig, specifik och otvetydig viljeyttring. Det går därför inte att använda sig av i förväg ikryssade rutor på webbplatsen.

Vidare får en tjänst inte göras villkorad av att personen lämnar sitt samtycke till behandling av uppgifter som inte är nödvändiga för tillhandahållandet av den aktuella tjänsten. Organisationen bör med anledning av de ökade informationskraven och särskilda kraven på samtycke se över sina personuppgiftspolicyer och informations- och samtyckesformuleringar för att säkerställa dels att de uppfyller kraven enligt dataskyddsförordningen, och dels att de stämmer med den faktiska behandling som sker genom organisationens it-system.

Arbetet med informationsdokumenten bör därför göras samtidigt med en eventuell upphandling eller justering av organisationens it-system.