Minns du hur världen såg ut i slutet av 80-talet? Det var då grunden till Personuppgiftslagen/PUL togs fram. I en värld som knappt sett de första, släpbara och tegelstensliknande ”biltelefonerna”, och Internet inte ens hade blivit omnämnt som en fluga av en måttligt visionär svensk kommunikationsminister.

GDRP

Varför GDPR?

Tjugo år efter PULs inträde i den svenska lagboken har det nu blivit hög tid att anpassa lagstiftningen. Dels till det fria flödet av varor, tjänster och information inom EUs gränser, men även till den digitala revolution som rullar allt snabbare och har gjort dina personuppgifter till den mest åtråvärda valutan ett företag kan tänka sig.

Vad är nytt?

Med handen på hjärtat är det ändå väldigt mycket som är sig likt, med krav som faktiskt redan fanns i den gamla Personuppgiftslagen. Men det finns en del intressanta tillägg och nyheter.

Förutom förstås att lagstiftaren nu väckt många företagsledningars intresse genom att införa möjligheten att avkräva kraftiga sanktionsavgifter om lagen inte följs, är en intressant nyhet här i Sverige borttaget av den svenska tilläggsregeln för hantering av ostrukturerat material, den så kallade ”Missbruksregeln”. Från att tidigare kunnat hantera personuppgifter utanför strukturerade register utan att behöva följa PULs regelverk bara man inte kränkte någon, och på så sätt ”missbrukade” personuppgifterna, gäller nu samma krav på ordning och reda även för denna typ av personuppgiftsbehandling.

En annan viktig förändring ur svensk synvinkel är att vi, som under PULs tid haft en kraftigt avbyråkratiserad version av lagstiftningen i förhållande till andra länder, nu får en stor mängd dokumentationsarbete på halsen. Man ska kunna ”visa och bevisa” att man följer lagen, vilket medför en hel del nya krav på dokumentation. Kärnan i dokumentationen är det register över behandlingar som lagen kräver att man ska föra, där det bland annat ska framgå vilka kategorier av registrerade individer som finns, och vilka kategorier av personuppgifter som behandlas för dessa registrerade.

Bland övriga intressanta nyheter är regeln att allvarligare personuppgiftsincidenter ska rapporteras in till tillsynsmyndigheten redan inom 72 timmar från det att incidenten upptäckts. I vissa av dessa fall måste även de individer som drabbats notifieras. Detta gäller om incidenten är tillräckligt allvarlig.

Ytterligare en nyhet som blir spännande att följa gäller rätten till dataportabilitet, vilket innebär att den registrerade har rätt att få vissa personuppgifter överförda till sig själv eller annan part i ett ”allmänt använt elektroniskt format”. Riktigt hur detta ska lösas praktiskt inom olika branscher återstår att se

“All work and no play”?

Visst är det en hel del arbete som behöver göras för att säkra att allt är i sin ordning, men det finns massor av möjligheter för företag att kunna använda detta arbete för såväl operationella effektiviseringar som för nya affärsupplägg.

Vill du veta mer, läs vidare i vår artikelserie eller kontakta oss direkt på info@ffcg.se och låt oss diskutera hur vi kan hjälpa dig och ditt företag med ert GDPR-arbete!

Artikelserie: GDPR – nödvändigt ont eller vägen till framgång?

» 1. GDPR – dagen efter
» 2. Varför, och vad är nytt?
» 3. Arkitekternas bidrag till efterlevnaden av GDPR

Av: Marika Wasserman, Forefront Consulting