Ny EU-förordning om personuppgifter

Publicerad

Du kan ha 200 miljoner skäl att bry dig om EU:s nya förordning om personuppgifter. Det är nämligen maxböterna för att inte följa dem. Förordningen träder i kraft den 25 maj 2018. Så, här kommer en snabbgenomgång.

Hela förordningen kan du hitta här

Vem är vem?

Förordningen nämner tre roller som någon som behandlar personuppgifter kan ha. Det första är ”personuppgiftsansvarig”. Det är inte en person utan en organisation, till exempel företag eller myndighet, som samlar in eller innehar personuppgifter. Flera personuppgiftsansvariga kan dela på samma personuppgifter, men förordningen ställer högre krav på personuppgiftsansvariga än personuppgiftsbiträden. Ett personuppgiftsbiträde är en organisation som fått tillgång till personuppgifter från en personuppgiftsansvarig. Det är bra att reglera dessa roller i ett avtal.

Personuppgiftsombud är en person som har som ansvar att tillvarata intressen hos dem som registrerats. Men om såvida du inte är en myndighet eller ett företag som har som huvudverksamhet så finns inga krav på att ett personuppgiftsombud ska finnas.

Separata avtal för personuppgifter.

Skippa den där sista raden om ”Genom att genomföra ett köp samtycker du till att dina personuppgifter kan komma att sparas och användas”. När det nya förordningen träder i kraft är den inte längre giltig. Du måste ha ett separat och tydligt avtal mellan dig och din kund om att du har rätt att använda deras personuppgifter. Det får inte ens vara en förkryssad ruta, utan du behöver ett aktivt samtycke om användandet av personuppgifter.

Du får inte heller samla in fler uppgifter än som vad är nödvändigt för att uppfylla syftet med insamlingen.

Rätt till redovisning, rätten att bli glömd och rätten att bli lämnad i fred

En användare har enligt det nya förordningen rätt att få reda på bland annat vilka personuppgifter som ett företag har samlat in om personen, vilka personuppgifterna lämnats till samt hur länge uppgifterna sparas. Användaren har också rätt att rätta felaktiga uppgifter.

En person har även rätt att kräva att personuppgifter om vederbörande raderas om det inte längre finns skäl för företaget att ha kvar dem, eller avtalet om personuppgifter hävs. Målsman för ett barn har alltid rätt att kräva att personuppgifter om barnet raderas.

Ett företag som får en begäran om ovanstående ska om det inte är omöjligt eller innebär oproportionella ansträngningar alltid meddela alla andra som mottagit uppgifterna om ändringarna.

Det finns ett kryphål här. För att genomföra det här måste användaren vara tydligt identifierad. Förordningen säger uttryckligen att för att lämna ut dessa uppgifter måste en människa vara tydligt identifierad. Ett företag är inte skyldigt att inhämta personuppgifter som möjliggör identifiering, men får inte heller neka till sådan information.

En användare ska utan krångel kunna avregistrera sig från direktmarknadsföring och profilering och dessutom informeras om den möjligheten när du tar emot deras personuppgifter.

Barn får särskilt skydd

Personuppgifter om barn, det vill säga personer under 16 år, kommer att bli särskilt känsliga. Förordningen säger uttryckligen att villkoren för att samla in personuppgifter ska vara formulerade så enkelt att ett barn kan förstå dem. De har också en starkare rätt att bli glömda, och såvida personuppgifterna samlats in när personen varit barn gäller denna rätt även när de är över 16 år. Profilering, det vill säga automatiska förutsägelser om beteende får inte användas på barn.

Ett företag ska inte heller kunna samla in personuppgifter om ett barn i onlinetjänster utan målsmans tillåtelse. Det gäller bland annat sociala medier. Medlemsstaterna i EU ges dock möjligheten att sätta åldersgränsen lägre, ner till 13 år, vilket regeringen meddelat att de avser att göra.

Hackning eller läckor av personuppgifter ska rapporteras till Datainspektionen inom 72-timmar

Enligt förordningen ska en incident där personuppgifter hamnar i felaktiga händer rapporteras inom 72 timmar till ansvarig myndighet, i Sverige är det Datainspektionen. Om uppgifterna som hamnat på avvägar sannolikt leder till en hög risk för att påverka en enskild medborgare är du även skyldig att informera denne om incidenten och hur det kan komma att påverka denne.

Kontakta oss

08-5100 5700

Sveavägen 63, 113 59 Stockholm

Presskontakt

Fredrik Holmén, VD - [email protected]