SmartDok anpassar sig efter den nya allmänna dataskyddsförordningen (GDPR) som träder i kraft i maj 2018
Google vet mer om dig än du anar, Amazon vet vad du ska köpa innan du vet det själv, medan Facebook har kännedom om du kommer att skilja dig inom en snar framtid. Hur vet de allt detta? Jo, eftersom de har tillgång till persondata som du lämnar kvar på internet.
Företagen berättar för dig att de samlar in denna typ av information så att de kan tillhandahålla bättre service och erbjuda mer målinriktad och relevant kommunikation, allt för att ge dig en bättre kundupplevelse. Något som visserligen är sant, men vad använder de egentligen informationen till?
Denna fråga har blivit ställd och besvarad i EU, och är anledningen till att det i maj 2018 träder i kraft en ny lag för dataskydd, GDPR (General Data Protection Regulation), som kommer förändra tillvägagångssättet verksamheter samlar in, använder, upprättar och sparar persondata.
SmartDok är ett system utvecklat för entreprenadbranschen. I dag registrerar 50 000 användare tidrapportering, HMS, checklistor, avvikelser , varuanvändning, masstransport och mycket annat i systemet. Persondata som registreras i systemet ska från den 25 maj 2018 behandlas efter den nya dataskyddsförordningen, och som användare av SmartDok kan du försäkra dig om att SmartDok redan är igång med anpassningen till GDPR, att den nya förordningen inte kommer överskridas och att information inte kommer att missbrukas.
Vad betyder den nya dataskyddsförordningen för verksamheter?
- Samtliga svenska verksamheter får nya krav
EU:s förordning för dataskydd blir svensk lag under 2018, och ersätter då dagens regelverk. Vi får med andra ord nya regler för dataskydd i Sverige. Det ger verksamheter nya krav att förhålla sig till, och personer vars upplysningar behandlas, de registrerade, får nya rättigheter.
- Information om hur personupplysningar behandlas ska delges
När vi behandlar personupplysningar, är vi förpliktade att informera de registrerade. Kraven angående denna information blir hårdare när förordningen träder i kraft.
- Företag förpliktas att bedöma risker och konsekvenser av det nya regelverket
Flera verksamheter måste enligt det nya regelverket utreda konsekvenserna av åtgärder med tanke på dataskyddsförordningen, samt göra riskbedömningar. Detta gäller i de fall där åtgärderna har stor inverkan på personlig integritet.
- Företag förpliktas att inkludera dataskydd i sina lösningar
Samtliga företag som behandlar personupplysningar eller som till exempel ska bygga nya IKT-system rekommenderas att följa principerna för inbyggt dataskydd. När förordningen träder i kraft blir detta också en plikt.
- Flera verksamheter förpliktas att upprätta dataskyddsombud
Dagens dataskyddsordning är frivillig. Med den nya förordningen förpliktas flera verksamheter att upprätta dataskyddsombud. De som inte förpliktas att upprätta ombud, kan givetvis också välja att följa ordningen på frivillig basis.
- Reglerna gäller även verksamheter utanför EU och EES
Verksamheter etablerade utanför EU- och EES-området förpliktas att följa förordningens regler, givet att de:
- Erbjuder varor och tjänster till EU- eller EES-medborgare
- Kartlägger EU- eller EES-medborgares beteende inom EU- eller EES-området
- Databehandlare tilldelas nya krav
En databehandlare är en verksamhet som behandlar personupplysningar på vägnar av en annan verksamhet, den så kallade behandlingsansvarige. I dag bestäms den behandlingsansvariges plikter av lagen, medan databehandlarens plikter bestäms av ett databehandlaravtal mellan den behandlingsansvarige och databehandlaren. Lagen kräver ett sådant avtal, men innehållet bestäms helt och hållet av båda parter.
- Samtliga företag bör samarbeta i egna nätverk och följa branschnormer
Förordningen uppmuntrar till att verksamheter innanför samma sektor går samman om utformning av branschnormer. En branschnorm är rättningslinjer för hur en sektor eller bransch ska hantera personupplysningar på ett bra sätt. Sådana branschnormer tar hänsyn till sektorns typ och verksamhetens storlek. Branschnormer ska enligt de nya reglerna godkännas av Datainspektionen.
- Samtliga företag får nya krav på hantering av avvikelser
Enligt dagens regelverk ska verksamheter informera Datainspektionen om konfidentiella personupplysningar har hamnat fel. Kraven på hantering av säkerhetsbrott skärps när förordningen träder i kraft.
- Samtliga företag ska kunna uppfylla medborgarnas nya rättigheter
Dagens personupplysningsregelverk innehåller många rättigheter för de registrerade. Rätt till insyn och rätt till korrigering av felaktiga eller inkompletta personupplysningar är exempel. Dessa rättigheter vidareförs till den nya förordningen, men den innehåller även flera nya rättigheter. Samtliga verksamheter måste sätta sig in i dessa nya rättigheter och lägga till rätta för att uppfylla dem, samt inrätta rutiner för att bedöma krav från de registrerade. Fristen för att besvara den registrerade är en månad.
De nämnda punkterna betyder att SmartDok och andra verksamheter måste:
- Ha översikt över vilka personupplysningar ni behandlar
Samtliga verksamheter som samlar in data eller använder personupplysningar ska ha översikt över vilka personupplysningar det handlar om, var de kommer från och vad som är det rättsliga underlaget för behandlingen. Se till att ha en sådan översikt. Det är ett krav som gäller även efter befintlig lagstiftning.
- Se till att uppfylla dagens lagkrav
Övergången till de nya reglerna blir lättare om ni efterlever kraven i personupplysningslagen som gäller i Sverige i dag. Har ni bra rutiner för internkontroll som fungerar för ändamålet och är välkänt i organisationen, är det lättare att få översikt över vad ni måste ändra.
- Sätta sig in i det nya regelverket
Läs förordningstexten. Följ också med på Datainspektionens nätsidor. Där fyller de även på med artiklar om de nya reglerna eftervart som de utarbetas.
- Skapa rutiner för att följa de nya reglerna
Gå igenom rutinerna ni har för behandling av personupplysningar. Uppdatera dem efter det nya regelverket. Dokumentera de nya rutinerna och gör en plan för nödvändiga ändringar. Är era system anpassade för att uppfylla kravet på inbyggt dataskydd, dataportabilitet och personlig integritet som standardinställning? Klarar ni att ta emot och besvara hänvändelser från medborgarna inom en månad?
Källa: www.datainspektionen.se