Individens rättigheter – och dina skyldigheter – när den nya dataskyddsförordningen träder i kraft

Den nya dataskyddsförordningen, GDPR, ställer helt nya krav på hur vi hanterar personuppgifter. Det handlar om att alla personuppgifter som hanteras av företag måste behandlas med stor integritet, vilket innebär en stor förändring för alla företag – oavsett storlek. Så vilka rättigheter har egentligen den person vars personuppgifter du och ditt företag hanterar – och vilka är dina skyldigheter? Här tar vi en närmare titt på vad förordningen säger, och ger även konkreta exempel på vad som krävs för att den ska kunna efterlevas.

Nya dataskyddsförordningen har individens rättigheter i fokus

Individer vars personuppgifter registreras och behandlas får utökade, stärkta och specificerade rättigheter i den nya dataskyddsförordningen, GDPR, i jämförelse med den gamla personuppgiftslagen, PUL. Med behandling av personuppgifter menas all typ av användning av dessa data. Individens rättigheter är följande:

  1. Rätt till information – Den vars personuppgifter registreras har rätt att få utdrag på detta samt information om när hans eller hennes personuppgifter behandlas om så efterfrågas.
  2. Rätt till rättelse – Rätten att få felaktiga uppgifter rättade och/eller kompletterade.
  3. Rätt till radering (“rätten att bli bortglömd”) – uppgifterna ska, på begäran av den vars uppgifter är registrerade, bli raderade.
  4. Rätt till begränsning av behandling – Möjligheten att (i vissa fall) kräva att behandlingen av personuppgifterna begränsas, det vill säga att de bara får behandlas för vissa avgränsade syften.
  5. Dataportabilitet – Att (i vissa fall) ha möjlighet till överflyttning av personuppgifter, exempelvis från en annan social medietjänst till en annan.
  6. Rätt att göra invändningar – Rätten att (i vissa fall) invända mot behandlingen av ens personuppgifter.
  7. Automatiserat beslutsfattande – Rätten till att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, om beslutet kan ha rättsliga följder (eller motsvarande).
  8. Klagomål – Den vars personuppgifter blir behandlade kan lämna in ett klagomål till Datainspektionen som sedan bedömer om tillsyn ska inledas.
  9. Skadestånd – En person som har lidit skada på grund av att dennes personuppgifter har behandlats i strid med dataskyddsdirektivet kan ha rätt till skadestånd.

Att efterleva den nya dataskyddsförordningen kräver tydlig kartläggning av personuppgifter

En förutsättning för att du och ditt företag ska kunna leva upp till alla dessa skyldigheter är i ett första skede att du har insikt om hur behandlingen av personuppgifter ser ut i dagsläget. Vet du inte var eller vilka personuppgifter som behandlas, kan du ju exempelvis inte ta bort eller ändra dem på begäran.

En kartläggning av uppgifterna bör omfatta vilka uppgifter som finns, vilka system som de förs in i och vilka eventuella tredjeparter som uppgifterna delas med. Därtill måste även alla processer kring hanteringen kartläggas – hela vägen från insamling av uppgifterna till den punkt då kunden inte längre är din kund.

Hur sökbara är dina personuppgifter

Det största (och ofta första) problemet som många i detta skede stöter på är att det är svårt att söka upp och identifiera de personuppgifter som finns registrerade. Det kan bero på att de dokument och filer som innehåller personuppgifter är sparade på sådant sätt att de inte går att söka upp – på USB-minnen, lokalt på skrivbordet i någons dator, externa hårddiskar och så vidare. Eller att de system som uppgifterna finns sparade i inte tillhandahåller tillräckliga sökfunktioner. Systemen bör vara uppbyggda på sådant sätt att det motsvarar de krav som GDPR ställer – det som kallas privacy by design.

Nya dataskyddsförordningen – inte en Y2K-bugg

När man väl har kartlagt personuppgifterna ligger problemen ofta i hur rutiner och processer ska utformas i de fall en registrerad individ gör en invändning om användandet av dennes personuppgifter, önskar bli bortglömd eller att få utdrag och så vidare. Problematiken här ligger alltså i hur man i praktiken ska genomföra det.

Att det är en snårskog att komma fram till hur processerna ska implementeras är bara förnamnet. Här ser det väldigt olika ut från bolag till bolag ifråga om hur långt man har kommit i arbetet med förberedelserna inför GDPR. Detta beror i sin tur ofta på om man tar följderna av dataskyddsförordningens införande på allvar eller ej. Somliga tror fortfarande att detta rör sig om något slags ”millenniebugg” – en domedagsprofetia som aldrig kommer att spela ut sin roll. Sanningen är dock att det GDPR kommer att innebära en större omställning än vad de flesta kanske anar. EU har gått ut med krav på lagändringar till medlemsländerna, vilket gör att omkring 100 svenska lagar kommer att behöva skrivas om till förmån för dataskyddsdirektivet.

Att ta hjälp utifrån

Kartläggning och implementering är inte okomplicerat och väldigt få företag har experter med djupgående kunskap om den nya dataskyddsförordningen i sin stab som kan säkerställa att inga delar i arbetet förbises. Därför är givetvis utbildning en bra start för att skapa en översiktlig bild av vad som krävs för att efterleva dataskyddsförordningen.

Nästa steg kan vara att tillsammans med en extern part på ett uttömmande sätt diskutera hur den nuvarande situationen ser ut, för att ta reda på vad som konkret måste göras – en workshop, exempelvis. En sådan workshop bör utmynna i en rapport eller checklista som på ett tydligt sätt visar vilka delar som i nuläget fungerar i enlighet med GDPR, och vad som återstår för att förordningen fullt ut ska efterlevas. Den bör även tala om i vilken ordning arbetet för att få resterande delar på plats bör ske samt ge förslag på vilka lösningar som finns att tillgå.

Många leverantörer som säger sig erbjuda hjälp inför GDPR faller på att de inte erbjuder några konkreta lösningar. Ofta blir det istället en fråga om att få dig och dina kolleger att förstå hur omfattande arbetet är. Om du tar hjälp utifrån, bör du därför se till att lösningarna är till praktisk och inte bara rådgivande hjälp. Ta reda på om din leverantör exempelvis kan erbjuda någon typ av tekniska lösningar som kan integreras med den IT-plattform som ni redan använder. Säkerställ att lösningarna är tydligt paketerade och skalbara – betala inte för mer än vad ni faktiskt behöver. Se även till att din leverantör på ett tydligt sätt kan visar vad det förväntade utfallet av ett samarbete kommer att bli.

Inspiration och kunskap direkt till din inkorg

Signa upp dig för vårt månatliga inspirationsbrev som ger dig tips, insikter och råd om nya arbetssätt, processer och säkerhet kopplat till Microsoft 365, Azure och olika verktyg i Microsofts molnplattform.

Kostnadsfri Säkerhetsanalys av er Microsoft 365-miljö

Få konkreta och handfasta tips på hur du bättre kan skydda din organisation

Läs mer och boka

Skriven av:

Martin Liljenberg

CTO

martin.liljenberg@upheads.se