Dataskydd & GDPR

DATASKYDD

Som de flesta känner till, i vart fall de som kommer i kontakt med personuppgifter, andra dataskyddsfrågor samt informationssäkerhetsaspekter, så har personuppgiftslagen upphört att gälla och idag tillämpas i stället dataskyddsförordningen/DF/GDPR (vi använder oss av GDPR).

Mycket av det som gällde enligt personuppgiftslagen kommer fortsätta att vara aktuellt också i och med GDPR (och de nationella kompletterande lagstiftningarna såsom den s.k. dataskyddslagen). Det kan dock noteras att genom att GDPR tillämpas införs också en rad nya regleringar som många aktörer och organisationer behöver känna till. Inte minst gäller det hur ett samtycke från en registrerad lämnas för att vara giltigt, personuppgiftsbiträdets ansvar och vad ett personuppgiftsbiträdesavtal ska innehålla, vilken information som ska lämnas i olika sammanhang och under vilka förutsättningar ett register ska föras samt ett dataskyddsombud utses (och vilka kvalifikationer m.m. som ställs på ett sådant ombud). En annan nyhet är att en personuppgiftsincident måste anmälas till relevant tillsynsmyndighet inom viss tid under vissa förutsättningar. Genom införandet av GDPR tillkommer också en del andra nyheter (där vissa gällde redan enligt tidigare praxis m.m. men som nu framgår direkt av förordningstexten) vad gäller de registrerades rättigheter (och därigenom vilka krav som ställs på framför allt personuppgiftsansvariga samt på funktionaliteten på system etc.).

I stort sett alla företag, organisationer och myndigheter – stora som små – måste fundera över hur dess verksamhet behöver anpassas för att vara i enlighet med GDPR. Inte minst då förordningen innehåller ett relativt omfattande sanktionssystem som inte bara kan aktualiseras i förhållande till en personuppgiftsansvarig utan också gentemot ett personuppgiftsbiträde under vissa förutsättningar.

Vi har kunskapen och erfarenheten att se till att varje bolag och myndighet faktiskt uppfyller de nya kraven – och att så sker vid vad tid.

PERSONUPPGIFTSINCIDENTER

Om personuppgifter av misstag försvinner, ändras, förloras tillgång till eller kommer obehörig person tillhanda kan det innebära en personuppgiftsincident i GDPR:s mening. Vid personuppgiftsincidenter har såväl den personuppgiftsansvarige som personuppgiftsbiträdet skyldighet att dokumentera händelsen och under vissa förutsättningar även en skyldighet att vidta åtgärder.

Personuppgiftsincidenter som innebär en skyldighet för den personuppgiftsansvarige att vidta åtgärder måste hanteras skyndsamt. Om incidenten behöver anmälas till tillsynsmyndigheten måste tillsynsmyndigheten ha fått anmälan tillhanda senast 72 timmar från det att den personuppgiftsansvarige fått vetskap om incidenten. Vidare innebär vissa personuppgiftsincidenter att information behöver lämnas till de personer som incidenten berör. Vid undermålig hantering av en personuppgiftsincident står den personuppgiftsansvarige risken att behöva betala sanktionsavgifter och skadestånd till berörda personer.

Det är inte alla incidenter som kräver att anmälan sker till tillsynsmyndigheten eller att information lämnas till de registrerade. W&P hjälper dig att snabbt och effektivt hantera personuppgiftsincidenter i enlighet med GDPR och säkerställer att rätt åtgärder vidtas utifrån incidentens karaktär och omfattning.

GDPR-PROJEKT

Utformningen av ett GDPR-projekt är till viss del beroende av relevant verksamhet och vilka typer – och omfattningen – av uppgifter som behandlas. För en översikt över hur W&P normalt som utgångspunkt hanterar GDPR-projekt hänvisas till tabellen nedan – vilken givetvis måste ses över och anpassas efter de närmare förutsättningarna och den närmare interna hanteringen.

Ett GDPR-projekt kan bli omfattande och det kan därför finnas skäl att prioritera exempelvis kritiska system och tjänster för att tillse att dessa och hanteringen inom systemet/tjänsten uppfyller kraven enligt GDPR. Vi föreslår normalt att en sådan översyn sker inledningsvis i projektet och att – baserad på den inventeringen – eventuella delprojekt sätts upp.

Det är också viktigt att se över och fundera över den rättsliga grunden för behandlingen. Detta kan få betydelse för den närmare behandlingen och de funktionskrav som bör ställas på system vari personuppgifter behandlas. Därför bör även denna fråga hanteras inledningsvis i projektet.

Under projektet är det av stor betydelse att organisationen internt frigör resurser som har möjlighet att assistera i kunskapsinhämtningen kring funktioner i system etc samt vilken dokumentation som behöver tas fram och anpassas samt andra relevanta överväganden. Det är inte minst viktigt att organisationen är medveten om att ett GDPR-projekt inte endast rör IT-avdelningen utan att det måste finnas ett samarbete mellan alla relevanta avdelningar i organisationen.

Det bör också ske en utbildning av organisationen för att alla berörda ska vara uppdaterade – åtminstone på ett generellt plan – kring GDPR och de nya regelverken som aktualiseras i anledning av GDPR. Vi tror också att det är viktigt att det efter en implementeringsfas sker en aktiv kontroll över att alla delar är på plats och att det sker uppföljande kontroll med någorlunda intervaller.

Som utgångspunkt använder vi normalt oss av följande övergripande projektplan:

Etablera projektet

Syfte & mål

Projektorganisation

Arbetsmetod

Tidplan

Budget & resurser

Delprojekt

Inventera organisationen och verksamheten

Vilken behandling sker och var och hur? Vilka uppgifter behandlas? Varför?

Processer

Avtal

IT-miljö & system

Mappning av den behandling som sker

Analys och rapport

Hur förhåller sig den befintliga behandlingen till GDPR?

Anpassa verksamheten – hur eliminera eventuella gap?

Rekommenderade ”actions”

Implementering

System

Behandling

Arbetssätt

Policy

Riktlinjer

Roller mm.

Kontroll

Testa och följa upp (fungerar system och rutiner mm.)?

Efterföljs GDPR också framöver?

Kontakta oss gärna för mer information

Christina Wikström

Advokat & Managing Partner

christina@wikstrompartners.se

Tel: +46 (0)70 691 68 00

 Jens Forzelius

Advokat & Partner

jens@wikstrompartners.se

Tel: +46 (0)708 600 617