We're using cookies. When you click through to the next page, you're accepting that we're setting cookies. Read more here about the purpose.

Close

Checklista för att följa den nya personuppgiftslagen från EU

Av Sidsel Manich,

EU:s nya personuppgiftslag träder i kraft 2018. Lagen ska säkerställa att varje enskild person får bättre kontroll över sina egna personuppgifter, däribland:

  • Enklare åtkomst till sina egna personuppgifter.
  • Rätten att kunna överföra sina personuppgifter: det blir lättare att överföra sina personuppgifter mellan tjänsteleverantörer.
  • ”Rätten att glömmas bort”: förutsatt att det inte finns några legitima skäl att behålla personuppgifterna kommer dessa att tas bort.
  • Rätten att veta om ens personuppgifter har blivit hackade.

Den nya personuppgiftslagen kommer att kräva stora förändringar jämfört med hur de flesta företag hanterar sina data idag. Därför är det viktigt att ni redan nu skapar er en överblick över de särskilda utmaningar som den nya personuppgiftslagen innebär för ert företag.

Se till att involvera ledningen i processen och säkra ägarskap hos rätt personer. Det tar lång tid att få styr på behandlingen av personuppgifter, och det är därför viktigt att sätta i gång redan nu.

Behandling av personuppgifter i samband med marknadsföring av era produkter och tjänster kräver särskild omsorg. Håll er uppdaterade på reglerna, så att allt är på plats innan lagstiftningen träder i kraft.

Listan har sammanställts av advokat Torsten Hylleberg från advokatbyrån Lund Elmer Sandager.

  1. Säkerställ förankring på ledningsnivå – Inkludera den som är ansvarig för efterlevnad och er eventuella Data Privacy Officer (DPO). Det bör ske en förankring på ledningsnivå
  2. Kartläggning av data – Vilka personuppgifter behandlas? Avser personuppgifterna medarbetare, kunder, leverantörer eller avser de eventuellt era kunders kunder?
  3. Behandlingsgrund – Vilken är den rättsliga grunden för behandling av personuppgifter? Är den rättsliga grunden samtycke och skydd av ett avtalsförhållande eller tillämpar ni intresseavvägningsregeln som rättslig grund.
  4. Vem delar ni personuppgifter med? – Överförs personuppgifter till tredje part, däribland närstående företag?
  5. Vem är dataansvarig/uppgiftsbehandlare? – Det är viktigt att avgöra vem som ensam eller tillsammans med andra avgör i vilket syfte och med vilka hjälpmedel behandlingen av personuppgifter sker.
  6. Överföringar till länder utanför EU – Överförs uppgifter till ”osäkra” länder utanför EU?/Vilken är den rättsliga grunden till överföring till länder utanför EU?
  7. Måste företaget ha en Data Privacy Officer (DPO)? – Överväg om företaget måste anställa en Data Privacy Officer för att säkerställa att organisationen har nödvändiga teoretiska och praktiska kunskaper om behandlingen av personuppgifter.
  8. Uppgiftsbehandling – Behandlar ni uppgifter åt andra? Har ni ingått databehandlingsavtal, uppfyller ni kraven i dessa och har ni förfarande på plats för att uppfylla bestämmelserna i personuppgiftslagen?
  9. Efterlevnad – Finns det någon sekretesspolicy på plats (relevant, begriplig och uppdaterad), ett förfarande för hantering av datasubjektets rättigheter, tredjepartsavtal (due diligence), lämpliga säkerhetsåtgärder, revision osv.?
  10. Privacy by design/default – Befintliga IT-system: stöder de privacy by design/default, vilket arbete/kostnader är förbundna med detta, vilken livslängd har den befintliga IT-lösningen? Nya IT-lösningar: Ni måste säkerställa att kommande IT-lösningar stöder privacy by design/default. Kontrollera att det framgår av kravspecifikationen/lösningsbeskrivningen.

Listan bör uteslutande användas som inspiration och bör inte betraktas som företags- eller juridisk rådgivning.