Är din organisation rustad för att möta nya dataskyddsförordningen?

Den 25 maj 2018 träder EU-förordningen om dataskydd i kraft i Sverige. Då det är en EU-förordning innebär det att den kommer att gälla som lag i Sverige och att det kan tillkomma kompletteringar med regler på nationell nivå.

Dataskyddsförordningen skiljer sig inte markant mot nu gällande personuppgiftslagen. Det har däremot tillkommit några extra krav. Regeringen har tillsatt en utredning som ska presenteras i maj 2017, där det kommer att tydliggöras vilka regelverk som kommer förändras i Sverige.

Det som kan konstateras redan nu är att detta är ett ypperligt tillfälle att se över rutiner, system och styrning för medlems- & och insamlingsorganisationer. 25 maj 2018 kan kännas långt borta, men när rutiner, arbetssätt och styrning ska förändras är det alltid en fördel att vara ut i god tid för att slippa göra korrigeringar under tidspress.

Ett urval av förändringar:

• Personuppgifter som lämnats ut till annan part skall kunna redovisas och följas, så att ändringar i uppgifterna kan framföras till den andra parten.
• Den så kallade missbruksregeln kommer att tas bort, vilket innebär att ostrukturerat material (tex. löpande text på internet) inte längre kommer att få hanteras med det undantaget.
• Det blir utökade krav på att lämna information om ändamålet med personuppgifterna som lagras. Den skall dessutom vara kortfattad, lättbegriplig och tydlig med enkelt språk.
• Exempel på vad registrerade personer skall kunna få tillgång till är:
  • Sina personuppgifter samt att få dessa rättade eller raderade, kostnadsfritt och elektroniskt.
  • Möjlighet att invända mot direktmarknadsföring, profilering eller automatiserat beslutsfattande.
  • Kunna flytta sina personuppgifter (portabilitet) till annan organisation eller leverantör, tex om man vill byta socialt nätverk.
• Tydligare krav på att kunna uppvisa samtycke av personuppgiftsbehandling.
• Förstärkt skydd kring personuppgifter för barn, där vårdnadshavares samtycke kommer att krävas.
• Utökade krav på rutiner vid dataintrång, med anmälningsplikt inom 72 timmar som skall ske till tillsynsmyndigheten.
• Dataskyddsombud skall i vissa fall utses.
• Möjligheter till pseudonymisering skall i vissa fall byggas in i IT-system. Vilket innebär att personuppgifter skall rensas från personuppgiften, men man kan bibehålla tex. kön eller postnummer.

Listan är som sagt lång, och ev. har vi inte sett slutet på den ännu (vi får avvakta utredningens rapport). Klart står dock att detta kommer att påverka många organisationers verksamheter.

Vi kommer att göra vårt yttersta för att bistå våra kunder i denna transformation, och ett led i detta är att vi kommer bjuda in till seminarier under hösten för att informera och diskutera hur vi hittar de bästa lösningarna för att leva upp till EU-förordningen.