Ny dataskyddsförordning inom EU - Global Data Protection Regulation. (GDPR)

Hur GDPR kommer att påverka din dataskyddspolicy

TEST - REDO FÖR GDPR? LADDA NER GRATIS GUIDE

Är ni förberedda inför GDPR?

I maj 2018 träder en ny dataskyddslag i kraft inom EU.

Om den påverkar dig bör du tänka på åtgärder redan nu. Denna sida är till för att hjälpa dig att förstå GDPR, vad som kommer att krävas av dig och ditt företag, och erbjuda lösningar. The General Data Protection Regulation (GDPR) kommer att påverka alla organisationer inom Europa som behandlar personuppgifter på något sätt. Lagen påverkar också alla företag som gör affärer inom EU. Reglerna är komplexa och böter kan utfärdas om man inte följer dem, på upp till 20 miljoner Euro.

Men du är på rätt ställe för att undvika detta och att lära dig mera!

https://encryption.eset.com/se/wp-content/themes/twentysixteen/img/images/calendar.png

LADDA NER GRATIS GUIDE

ESET har tillsammans med juridiska rådgivare tagit fram denna djupgående guide (eng) för att visa hur den nya EU-förordningen kommer att påverka dig. Du kan också läsa mer här nedan.

https://encryption.eset.com/se/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Online - kolla om du följer reglerna

Följer ditt företag de nya reglerna?

Att följa GDPR, steg för steg

Konsekvenserna av GDPR är komplexa, så vi har brutit ner processen att följa GDPR i tre grupper av åtgärder som du bör överväga, indelade i olika områden med mer detaljerad förklaring. Klicka bara på staplarna i diagrammet nedan för att undersöka dessa områden.

+Sammanfattning

Några av de principer som anges i GDPR är en fortsättning på de som anges i det befintliga direktivet om dataskydd, nämligen: rättvisa, lagenlighet och öppenhet, begränsning av syfte, minimering av data, datakvalitet, säkerhet, integritet och sekretess.

GDPR etablerar en ny princip för ansvarsskyldighet genom en dataskyddsansvarig som är ansvarig för att principerna följs. Dessutom lägger GDPR nya aspekter till de befintliga principerna för dataskydd, enligt följande

Laglighet, rättvisa och öppenhet – Personuppgifter måste nu behandlas på ett öppet sätt i förhållande till den registrerade.

Begränsning av syfte – Med vissa försiktighetsåtgärder anses arkivering av personuppgifter, som är av allmänt intresse, inte vara oförenliga med de ursprungliga bearbetningsformerna.

Lagring – Personuppgifter måste hållas i en form som inte tillåter identifiering av en berörd person  längre än vad som är nödvändigt för de ändamål som personuppgifterna behandlas.

Ansvar – Dataskyddsansvarig ansvarar för, och måste kunna visa, att principerna följs.

+Organisatoriska strukturella krav

Enligt GDPR måste du genomföra ett brett spektrum av åtgärder för att säkerställa att du minskar risken för att bryta den nya lagen och bevisa att du tar datastyrning på allvar. Bland de nödvändiga ansvarsföreskrifterna är: Konsekvensanalys av personuppgifter, revisioner, policyöversikter, aktivitetsregister och (eventuellt) utnämning av dataskyddsansvarig. (Data privacy officer – DPO).

I och med GDPR införs skyldigheten för vissa organisationer att utse en dataskyddsansvarig (DPO). Organisationer måste utse en anställd eller en extern konsult som sin DPO.

Om du är marknadsförare med en stor konsumentdatabas måste du förmodligen utse en DPO. Nationella dataskyddsmyndigheter förväntas ge vägledning om vem som kvalificerar sig.

Din DPO ansvarar för att övervaka överensstämmelsen med GDPR, ge dig råd om dina skyldigheter, ge råd om när och hur en konsekvensbedömning ska genomföras och vara kontaktpunkt vid förfrågningar från nationella dataskyddsmyndigheter och enskilda personer.

Konceptet med en one-stop shop gör det möjligt för en organisation som är etablerad i flera EU-länder att bara hantera en nationell dataskyddsmyndighet , fast reglerna för att bestämma vilken DPA som ska ta denna roll och hur de skulle hantera klagomål, är i vissa fall komplexa.

+Processer, förfaranden och policys

GDPR definierar en dataöverträdelse som “ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av, eller tillgång till, personuppgifter som överförts, lagrats eller på annat sätt bearbetats”.

Detta är en bredare definition än tidigare och tar inte hänsyn till om överträdelsen skapar skada för individen. Om du utsätts för ett datasäkerhetsbrott, måste du informera din nationella dataskyddsmyndighet senast 72 timmar efter att överträdelsen upptäckts.

Du är dock befriad från att meddela personerna i fråga om du har genomfört lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, till exempel kryptering.

En viktig del av att följa GDPR är integritet genom design, dvs. att utforma varje ny process eller produkt med framförallt integritetskrav i centrum. Detta tillvägagångssätt, som tidigare var bästa praxis, är nu ett uttryckligt krav.

En konsekvensbedömning för dataskydd, även känd som Privacy Impact assessment (PIA), syftar till att identifiera och minimera risker för bristande överensstämmelse.

GDPR gör PIAs till ett formellt krav; specifikt, kontrollanter måste se till att en PIA har genomförts, innan det påbörjas, någon behandlingsaktivitet av “hög risk”.

Om du arbetar internationellt är dina regler och processer för överföra data till icke EU jurisdiktioner kommer att vara en betydande övervägning, eftersom överensstämmelse eller överföring av uppgifter till jurisdiktioner som inte erkänns (av Europeiska kommissionen) till att ha en lämpling uppgiftsskyddsförordning blir mycket allvarligare under GDPR.

+Medvetenhet om datasäkerhet

Nu är det dags att börja förklara behovet av att följa GDPR för dina egna medarbetare. Du kan redan nu behöva börja planera ändrade förfaranden för att hantera GDPRs nya regler för öppenhet och individuella rättigheter. Detta kan ha betydande ekonomiska, IT- och utbildnings-effekter.

+Ansvar - tekniska åtgärder

GDPR gör kontrollanter ansvariga för att visa överensstämmelse med sina dataskyddsbestämmelser, så du måste se till att ni har klara policys för att bevisa att ni uppfyller de nödvändiga standarderna genom att regelbundet övervaka, granska och utvärdera era databehandlingsförfaranden, bygga upp skyddsåtgärder och se till att er personal är utbildad för att förstå sina skyldigheter – Och var redo att visa detta när som helst, när det krävs av er nationella dataskyddsmyndighet.

+Dataöverträdelse - tekniska åtgärder

Ni måste förbereda er för överträdelser mot datasäkerheten (definierat som “brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av, eller tillgång till, överförda personuppgifter, lagrade eller på annat sätt behandlade”) genom att sätta tydliga policys och beprövade rutiner på plats för att säkerställa att ni kan reagera på och meddela eventuella överträdelser om det behövs.

Att inte anmäla ett brott när det krävs kan resultera i böter, såväl som böter för själva överträdelsen mot datasäkerheten.

+Säkerställ datafrågor - tekniskt

GDPR stärker rättigheter för berörda personer , till exempel genom rätten att kräva information om data som behandlas och rör dem själva, tillgång till data under vissa omständigheter och korrigering av data som är fel.

Ett av huvudmålen med GDPR är att stärka individernas rättigheter. Som resultat kommer reglerna för att hantera ansökningar om tillgång till berörd person att ändras, och ni måste uppdatera era rutiner för att avspegla detta.

I allmänhet får du inte ta betalt för att följa en begäran. Du kommer även att normalt bara ha en månad på dig att följa begäran (den nuvarande gränsen är 40 dagar)

Rätten att glömmas bort (‘radering’ i GDPRs terminologi) tillåter individer att kräva av kontrollanter att deras data eller personuppgifter raderas utan oskälig fördröjning i vissa situationer, till exempel om det finns ett problem med bearbetningens underliggande laglighet eller om de återkallar sitt samtycke.

Tredje part med vilka du delar en individs data omfattas också av dessa regler.

GDPR definierar profilering som “någon form av automatiserad behandling av personuppgifter som består av användningen av personuppgifter för att utvärdera vissa personliga aspekter som rör en fysisk person, särskilt för att analysera eller förutsäga vissa aspekter beträffande den fysiska personens prestationer på arbetsplatsen, ekonomiska situationer, hälsa, personliga referenser, intressen, tillförlitlighet, beteende, plats eller rörelse”; det finns emellertid viss tvetydighet angående om att berörda personers rätt att inte bedömas baserat på profilering kommer verkställas.

GDPR introducerar en ny rätt till dataöverförbarhet som går utöver individers rätt att kräva utlämnande av uppgifterna i en vanlig elektronisk form och kräver att kontrollanten tillhandahåller information i en strukturerad, allmänt använd och maskinläsbar form.

Det finns vissa begränsningar för denna regel, till exempel gäller den endast personuppgifter som behandlas med automatiska medel.

Som en del av sitt syfte att stärka individernas rättigheter, ger Europeiska kommissionen också rätt att begränsa viss bearbetning och en rätt till invändning mot personuppgifter som behandlats för direkt marknadsföring.

När en individ invänder, får deras data inte behandlas för direktmarknadsföring längre och individens kontaktuppgifter ska läggas till i en intern undantagsfil.

Organisationer måste informera individer om deras rätt att göra invändningar mot behandlingen av deras uppgifter på ett sätt som är uttryckligt och separat från annan information som de också måste tillhandahålla individer.

+Kommunicera sekretessinformation (Godkännanden, rättvisa meddelande om behandling)

Du kan behöva granska hur du söker, skaffar och registrerar en berörd persons samtycke . Personuppgifter måste vara lika lätt att dra tillbaka som att ge, och du måste även ha fått en positiv indikation på att personuppgifter får lov att behandlas – den slutsatsen kan inte dras från tystnad, förkryssade rutor eller inaktivitet.

GDPR ger särskilda skydd när det gäller hantering av personuppgifter som rör barn, särskilt när det gäller kommersiella internettjänster som socialt nätverkande.

Online krävs föräldrars samtycke för användande av personuppgifter för alla under 13 år.

Som ett resultat bör du börja tänka på hur man implementerar robusta system för att verifiera individernas åldrar och att samla föräldrarnas eller vårdnadshavarens samtycke att behandla sådana data.

Samtycke måste vara verifierbart, och när ni samlar barns uppgifter måste ert sekretessmeddelande skrivas på ett sätt så barnen förstår.

GDPR kommer förmodligen att öka utbudet av information ni måste ge till berörda personer , till exempel din rättsliga grund för att behandla deras uppgifter, dina datalagringsperioder och deras rätt att klaga till sin nationella dataskyddsmyndighet. Om de tror att det finns ett problem med hur du hanterar deras data, notera att GDPR kräver att denna information tillhandahålls på ett kortfattat och tydligt språk.

+Datasäkerhet ( Integritet och sekretess)

GDPR innehåller principer för datasäkerhet som liknar dem i det nuvarande direktivet, bland annat: rättvisa, laglighet och öppenhet; begränsning av syftet; data minimering; datakvalitet; säkerhet, integritet och sekretess.

Ni måste se till att personuppgifter bearbetas på ett sätt som säkerställer dess säkerhet, inklusive skydd mot otillåten eller olaglig behandling, och mot oavsiktlig förlust, förstörelse eller skada: “organisationen och varje outsourcad tjänsteleverantör ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken”.

Förordningen föreslår ett antal säkerhetsåtgärder som kan användas för att uppnå dataskydd, inklusive: pseudonymisering och kryptering av personuppgifter; förmågan att säkerställa fortlöpande sekretess, integritet, tillgänglighet och stabilitet hos system och tjänster som behandlar personuppgifter; förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid i händelse av en fysisk eller teknisk incident; och en process för att regelbundet testa, utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för personuppgifter.

GDPR anger kryptering som ett tillvägagångssätt som kan bidra till att säkerställa att vissa av sina skyldigheter följs. Att citera från förordningen:

Artikel 32 – Säkerhet för bearbetning

“1.   Med hänsyn till den senaste tekniken, kostnaderna för genomförandet och omfattningen, sammanhanget och syftet med bearbetningen samt risken för varierande sannolikhet och allvar för fysiska personers rättigheter och friheter så ska kontrollant och processor implementera korrekta tekniska och organisatoriska mätvärden för att säkerställa en säkerhetsnivå som är lämplig för risken: (a) pseudonymisering och kryptering av personuppgifter […]”

Artikel 34 – meddelande om brott mot personuppgifter till den registrerade

“3. meddelandet till den berörda personen som avses i punkt 1 ska inte krävas om något av följande villkor är uppfyllt: (a) En kontrollant har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och tillämpat de åtgärder på de personuppgifter som berörs av brott mot personuppgifter, särskilt de som gör personuppgifterna oförståliga för någon person som inte har behörighet att komma åt det, såsom kryptering […]”

+Datadokumentation, rättslig grund och revision

Du bör dokumentera vilka personuppgifter du hanterar, varifrån de kommer och med vilka du delar dem.

Om du har felaktiga personuppgifter och har delat dem med en annan organisation, kräver GDPR att du berättar för den andra organisationen om felaktigheten så att den kan rätta till sina egna poster. För att göra detta kan det krävas en informationsgranskning i hela organisationen eller inom specifika affärsområden. Detta kommer också att hjälpa dig att följa GDPRs ansvarighetsprincip.

Enligt GDPR bör du undersöka hur du behandlar personuppgifter och identifiera den rättsliga grunden för vilken du utför och dokumenterar dessa processer.

Detta är nödvändigt eftersom vissa individers rättigheter kommer att ändras av GDPR beroende på din rättsliga grund för behandling av personuppgifter. Ett exempel är att människor kommer att få en starkare rätt att ta bort sin data där du använder samtycke som din rättsliga grund för behandling. Samtycke är dock bara ett av flera olika sätt att legitimera bearbetningsaktiviteten och kanske inte är den bästa (eftersom det kan dras tillbaka).

Informationen som presenteras på denna webbsida utgör inte en juridisk grund, och användarna bör inte lita på dess noggrannhet när de fattar ekonomiska eller affärsmässiga beslut. ESET kommer inte att vara ansvarig för resultat som härrör från sådana åtgärder. Sök alltid oberoende juridisk rådgivning.

Gå med på vårt GDPR-webinarie

Tala med våra experter om hur den nya allmänna dataskyddsförordningen kommer att påverka ditt företag. ESET bjuder in till kostnadsfria webinarium för att förklara problemen kring GDPR. Registrera dig nedan så bjuder vi in till nästa tillfälle.

Nearly 80% of companies are not ready for GDPR

A new survey conducted by independent analysts IDC has found that most European SMBs are unprepared for the GDPR. IDC surveyed IT professionals at more than 700 businesses. It found that understanding of the new regulation remains low.

For more details- and to find out more about the GDPR for yourself – get the full IDC report, courtesy of ESET:

Understanding of GDPR impact

25% none | 52% limited | 22% full

Vi använder "cookies" för att ni ska få en så bra upplevelse som möjligt på vår websida. Mer info.

OK