{"id":63,"date":"2022-05-16T01:28:33","date_gmt":"2022-05-16T01:28:33","guid":{"rendered":"https:\/\/testdb.wiznet.se\/?p=63"},"modified":"2022-05-16T01:28:33","modified_gmt":"2022-05-16T01:28:33","slug":"dyrt-att-inte-forbereda-dataskyddsforordningen","status":"publish","type":"post","link":"https:\/\/testdb.wiznet.se\/?p=63","title":{"rendered":"Dyrt att inte f\u00f6rbereda dataskyddsf\u00f6rordningen"},"content":{"rendered":"<p>  \tPersonuppgiftslagen, PUL, bygger p&aring; ett EU-direktiv fr&aring;n 1995. Ett direktiv kan implementeras p&aring; olika s&auml;tt i olika l&auml;nder och det kan vara tungt f&ouml;r f&ouml;retagen att h&aring;lla reda p&aring; alla l&auml;nders olika till&auml;mpningar. D&auml;rf&ouml;r kommer man nu att inf&ouml;ra en f&ouml;rordning, som inneb&auml;r en mer sammanh&aring;llen lagstiftning.<\/p>\n<p>  \t&ndash; Men slutprodukten &ouml;ppnar &auml;nd&aring; upp f&ouml;r att l&auml;nderna inom vissa omr&aring;den antar nationell lagstiftning. Arbetsr&auml;tten &auml;r ett s&aring;dant omr&aring;de. Och i Sverige tittar en utredning just nu p&aring; hur den nya dataskyddsf&ouml;rordningen f&ouml;rh&aring;ller sig till v&aring;ra nationella lagar som patientdatalagen och kamera&shy;&ouml;vervakningslagen, s&auml;ger Johan Sundberg.<\/p>\n<p>  \t<strong>Men det finns ocks&aring; ett annat sk&auml;l<\/strong> till att dataskyddsf&ouml;rordningen (general data protection regulation, GDPR) kommit till och det &auml;r att vi sedan 1995 har haft en enorm teknisk utveckling, bland annat vad g&auml;ller sociala medier och internetanv&auml;ndning.<\/p>\n<p>  \t&ndash; Personuppgifter har nu ett st&ouml;rre v&auml;rde f&ouml;r f&ouml;retagen och kan till och med vara en handelsvara. Man ska komma ih&aring;g att de h&auml;r reglerna inte &auml;r till f&ouml;r att hj&auml;lpa f&ouml;retag och organisationer utan f&ouml;r att skydda individer, s&auml;ger Johan Sundberg.<\/p>\n<p>  \tHan tror att det &auml;r m&aring;nga som inte har brytt sig s&aring; mycket om PUL, eftersom det knappast har funnits n&aring;gra sanktioner. Det har i n&aring;gra f&aring; fall handlat om skadest&aring;nd till individer i storleksordningen 5 000&ndash;10 000 kronor. &Aring;tal f&ouml;r brott mot PUL har bara v&auml;ckts i n&aring;got enstaka fall.<\/p>\n<p>  \t&ndash; Med den nya f&ouml;rordningen kommer Datainspektionen att kunna utf&auml;rda administrativa sanktionsavgifter p&aring; upp till fyra procent av en global koncerns oms&auml;ttning, vilket kan inneb&auml;ra sanktionsbelopp p&aring; flera miljarder kronor f&ouml;r st&ouml;rre svenska f&ouml;retag.<\/p>\n<p>  \tJohan Sundberg h&auml;nvisar ocks&aring; till en unders&ouml;kning fr&aring;n Handelsh&ouml;gskolan i Stockholm som visar att konsumenter reagerar n&auml;stan lika starkt p&aring; att f&ouml;retag s&auml;ljer kundinformation utan att informera sina kunder som de de g&ouml;r om f&ouml;retag inte kontrollerar om underleverant&ouml;rer i utvecklingsl&auml;nder anv&auml;nder sig av barnarbete.<\/p>\n<p>  \t&ndash; Och det &auml;r sv&aring;rare att &aring;terst&auml;lla ett f&ouml;rlorat renomm&eacute; n&auml;r det g&auml;ller bristande dataskydd.<\/p>\n<p>  \tVad g&ouml;r d&aring; svenska f&ouml;retag f&ouml;r fel?<\/p>\n<p>  \t&ndash; Det vanligaste &auml;r att inte informera om den behandling av personuppgifter som sker. M&aring;nga g&aring;nger saknar man ocks&aring; laglig grund f&ouml;r behandlingen. Och sedan sparar man uppgifterna f&ouml;r l&auml;nge, eftersom man har d&aring;liga gallringsrutiner.<\/p>\n<p>  \t<strong>Det &auml;r en rad saker som skiljer<\/strong> den nya f&ouml;rordningen fr&aring;n PUL och som st&auml;ller h&ouml;gre krav p&aring; f&ouml;retagen. Ett exempel &auml;r att Sverige har haft en egen regel, den s&aring; kallade missbruksregeln, som till&aring;tit ostrukturerad behandling av personuppgifter, i till exempel e-post och worddokument, s&aring; l&auml;nge man inte kr&auml;nker n&aring;gon. Denna regel f&ouml;rsvinner.<\/p>\n<p>  \t&ndash; Nu m&aring;ste man allts&aring; se &ouml;ver sina rutiner, hitta en laglig grund f&ouml;r behandlingen och kanske l&auml;gga in information om behandlingen av personuppgifter i sina mejl. Vi har redan b&ouml;rjat med det p&aring; DLA Piper, s&auml;ger Johan Sundberg.<\/p>\n<p>  \tOch han uppmanar hr-avdelningarna att t&auml;nka sig f&ouml;r hur man kommunicerar i personal&auml;renden. Som exempel tar han en chef som via mejl klagat p&aring; Kalle som &auml;r mycket borta f&ouml;r v&aring;rd av sjukt barn. Ett s&aring;dant mejl kommer Kalle att kunna beg&auml;ra ut och det kan d&aring; &auml;ven anv&auml;ndas som bevismaterial i tvist med arbets&shy;givaren. &bull;<\/p>\n<p>  \t&nbsp;<\/p>\n<h4>  \tJohans 14 tips f&ouml;r f&ouml;rberedelse<\/h4>\n<h4>  \t<strong>1 Prioritera f&ouml;rordningen p&aring; ledningsniv&aring;.<\/strong><\/h4>\n<p>  \tDe som inte f&ouml;ljer de nya reglerna riskerar sanktionsavgifter p&aring; upp till 4 procent av oms&auml;ttningen. Det &auml;r d&auml;rf&ouml;r viktigt att f&ouml;rordningen prioriteras &auml;nda upp p&aring; ledningsniv&aring; i f&ouml;retaget.<\/p>\n<p>  \t<strong>2 Kartl&auml;gg personuppgiftsbehandlingen.<\/strong><br \/>  \tF&ouml;r att f&ouml;lja f&ouml;rordningen &auml;r det n&ouml;dv&auml;ndigt att ha kontroll &ouml;ver den personuppgiftsbehandling som sker i verksamheten &ndash; vilka uppgifter har ni och varf&ouml;r, hur l&auml;nge sparas de,<br \/>  \tetcetera?<\/p>\n<p>  \t<strong>3 G&ouml;r en laglighetsanalys. <\/strong><br \/>  \tSedan &auml;r det dags att g&ouml;ra en laglighetsanalys. Har ni r&auml;tt att behandla den h&auml;r informationen, sparar ni den f&ouml;r l&auml;nge, ger ni tillr&auml;cklig information till de personer som ber&ouml;rs, beh&ouml;vs samtycke?<\/p>\n<p>  \t<strong>4 Utse ett personuppgiftsombud. <\/strong><br \/>  \tAdressera dataskyddsfr&aring;gor internt &ndash; utse ett personuppgiftsombud eller en annan person som arbetar med dessa fr&aring;gor. Har ni inte interna resurser &ouml;verv&auml;g att anlita extern hj&auml;lp.<\/p>\n<p>  \t<strong>5 Registerutdrag g&auml;ller &auml;ven e-post. <\/strong><br \/>  \tMissbruksregeln i PUL f&ouml;rsvinner, vilket inneb&auml;r att personuppgifter i till exempel e-post och worddokument kommer att omfattas av f&ouml;rordningens krav, som r&auml;tten till registerutdrag.<\/p>\n<p>  \t<strong>6 R&auml;tt att bli bortgl&ouml;md.<\/strong><br \/>  \tPrivatpersoner kan kr&auml;va att bli borttagna fr&aring;n register och kunddatabaser, till exempel om ett samtycke tas tillbaka och om det inte finns n&aring;gon annan legal grund f&ouml;r uppgifterna.<\/p>\n<p>  \t<strong>7 G&ouml;r konsekvensbed&ouml;mningar redan nu.<\/strong><br \/>  \tDet blir nu krav p&aring; att inf&ouml;ra konsekvensbed&ouml;mningar f&ouml;r vissa typer av personuppgiftsbehandlingar som sannolikt inneb&auml;r en h&ouml;g integritetsrisk.<br \/>  \tHa en rutin f&ouml;r att g&ouml;ra s&aring;dan &auml;ven i fall d&auml;r det strikt sett inte beh&ouml;vs.<\/p>\n<p>  \t<strong>8 Anm&auml;lningsskyldighet.<\/strong><br \/>  \tVissa s&aring; kallade personuppgiftsincidenter m&aring;ste anm&auml;las till Datainspektionen inom 72 timmar efter att de intr&auml;ffat. Rutiner m&aring;ste uppr&auml;ttas f&ouml;r att internt hantera s&aring;dana situationer. &nbsp;<\/p>\n<p>  \t<strong>9 Uppr&auml;tta f&ouml;rteckning av personuppgiftsbehandlingar. <\/strong><br \/>  \tPersonuppgiftsbehandlingar m&aring;ste inte l&auml;ngre anm&auml;las till Datainspektionen, men den personuppgiftsansvarige m&aring;ste f&ouml;ra en intern f&ouml;rteckning med mer l&aring;ngtg&aring;ende krav.<\/p>\n<p>  \t<strong>10 R&auml;tt till information.<\/strong><br \/>  \tRegistrerades r&auml;tt att erh&aring;lla information utvidgas v&auml;sentligt samtidigt som informationen ska vara koncis, klar, tydlig, begriplig och l&auml;tt tillg&auml;nglig. Det blir en utmaning f&ouml;r m&aring;nga f&ouml;retag.<\/p>\n<p>  \t<strong>11 H&aring;rdare krav p&aring; samtycke till behandling.<\/strong><br \/>  \tEtt samtycke &auml;r till exempel ogiltigt om en tj&auml;nsteleverant&ouml;r st&auml;ller krav p&aring; samtycke till behandlingar som inte &auml;r n&ouml;dv&auml;ndiga f&ouml;r att genomf&ouml;ra tj&auml;nsten.<\/p>\n<p>  \t<strong>12 Uppr&auml;tta dataskyddspolicyer. <\/strong><br \/>  \tDen personuppgiftsansvarige ska dokumentera och kunna visa att f&ouml;rordningen f&ouml;ljs. En del i detta &auml;r uppr&auml;ttande av och antagande av dataskyddspolicyer.<\/p>\n<p>  \t<strong>13 Se &ouml;ver i vilka fall er behandling i dag st&ouml;djer sig p&aring; missbruksregeln.<\/strong><br \/>  \tKartl&auml;gg och bed&ouml;m om det finns r&auml;ttslig grund enligt f&ouml;rordningen att behandla personuppgifter som till exempel samlats in via webbsidor f&ouml;r ans&ouml;kningar.<\/p>\n<p>  \t<strong>14 Se &ouml;ver rutiner f&ouml;r kommunikation mellan hr och ber&ouml;rda chefer om medarbetare. <\/strong>Den ut&ouml;kade r&auml;tten till registerutdrag inneb&auml;r att exempelvis personuppgifter i e-post omfattas av r&auml;tten till registerutdrag.<\/p>\n<p>  \t<span class=\"pagefooter\">NINNI DICKSON<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>ARBETSR\u00c4TT Om ett och ett halvt \u00e5r ska EU:s nya dataskyddsf\u00f6rordning b\u00f6rja till\u00e4mpas. Det kan l\u00e5ta som l\u00e5ngt fram i tiden, men svenska f\u00f6retag och organisationer b\u00f6r b\u00f6rja f\u00f6rbereda sig redan nu. Det anser Johan Sundberg, advokat och ansvarig f\u00f6r DLA Pipers dataskyddsgrupp i Sverige.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-63","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=\/wp\/v2\/posts\/63","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=63"}],"version-history":[{"count":0,"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=\/wp\/v2\/posts\/63\/revisions"}],"wp:attachment":[{"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=63"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=63"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testdb.wiznet.se\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=63"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}