Det är dags för en ny dataskyddslag

The General Data Protection Regulation (GDPR) har slutligen godkänts av EU:s parlament. Den nya dataskyddsförordningen kommer träda i kraft i alla EU-länder från och med den 25 maj 2018. Aktörer som omfattas av den nya lagen har nu 2 år på sig att efterleva kraven.

GDPR ersätter det tidigare dataskyddsdirektivet som kom redan 1995. Den nya förordningen syftar till att förbättra skyddet för europeiska medborgares personliga data. Dessutom ska förordningen säkerställa en enhetlig och hög nivå av dataskydd hos aktörer som är aktiva inom unionen.

GDPR kommer naturligtvis innebära utmaningar för organisationer som antingen verkar inom EU eller gör affärer med organisationer som omfattas av regelverket.

EU har för att visa att de menar allvar infört kraftiga konsekvenser för de som inte efterlever kraven. De som missköter sig riskerar 20 miljoner euro eller 4 % av organisationens totala globala omsättning i böter (beroende på vilket straff som är kraftigast).

Några nyheter i lagen är bland annat:

• Tjänsteleverantörer och andra aktörer som hanterar personlig data på uppdrag av andra organisationer kommer ha direkta skyldigheter, ex implementering av säkerhetsåtgärder för att skydda personlig data.
• I händelse av ett dataintrång (där personlig data berörs) måste den som drabbats inom 72 timmar meddela detta till berörd tillsynsmyndighet. De personer som drabbats måste också meddelas utan fördröjning.
• Organisationer måste vara mer transparenta när det gäller datainsamling och hur data används. Det måste framgå i klartext hur uppgifter används och användare måste ge sitt samtycke. Det ska även vara möjligt att på ett smidigt sätt kunna återkalla sitt samtycke.
• Organisationer kommer behöva detaljerade uppgifter om personlig data som hanteras eftersom utdrag kan behöva tas fram för att tillfredsställa tillsynsmyndigheter. Dataminimering måste integreras i projekt som behandlar personlig data och riskanalyser kring integritetskonsekvenser måste utförs vid högriskhantering av personlig data.
• ”GDPR applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.” Med andra ord omfattar GDPR även organisationer utanför EU.

Det finns naturligtvis desto fler punkter som skulle kunna radas upp. Men kortfattat kan man säga att lagen är omfattande och många organisationer kommer behöva starta igång sitt arbete i tid för att inte riskera kraftfulla böter. I synnerhet för organisationer som är starkt beroende av användningen av personlig data kommer anpassningen till det nya regelverket ta lång tid.