pa|Vi erbjuder handledning och expertstöd i samband med anpassningar till dessa regelverk. Det kan handla om enskilda punktinsatser till löpande handledning och kunskapsstöd eller revisionstjänster. Regelverken ställer krav på såväl enskilda åtgärder som fortlöpande arbetssätt, vi har konkret erfarenhet att att lösa det här från projekt i komplexa verksamheter inom såväl offentlig som privat sektor. Enligt beräkningar på europeisk basis finns det ett behov om motsvarande 28.000 dataskyddsombud. Ombudet föreskrivs i GDPR (art 37), ställning och uppgifter anges i artiklarna 38 och 39. Dataskyddsombudet kan närmast beskrivas som en internrevisor och ska bland annat övervaka tillämpningen av förordningen. Ombudet ska rapportera direkt till högsta verksamhets-/förvaltningsledning och har en oberoende ställning. Det är en mycket speciell kravbild för ombudet som ligger i skärningspunkten mellan juridik, informationssäkerhet, compliancefrågor och generell it-och systemkunskap. Ombudsfunktionen är obligatorisk för alla offentliga verksamheter samt privata verksamheter som till stor del baserar sin verksamhet på omfattande personuppgiftsbehandlingar (till exempel externa kundtjänster och vårdföretag). Ett tips är att börja söka redan nu, det kommer att bli brist på den här kompetensen. Prologon samlar in och behandlar personuppgifter med stöd av avtalsgrunden och berättigat intresse enligt artikel 6 Dataskyddsförordningen, för personer som själv tagit kontakt med Prologon. Dessa behandlas (lagras) så länge grunderna kvarstår och raderas därefter. Uppgifter överförs aldrig tredje person. st|Under 2018 trädde ett antal lagar i kraft som tydliggör och inskärper kraven beträffande hantering av personuppgifter och säkerhet inom särkilt utpekade verksamheter. Ingen har väl undgått GDPR eller Dataskyddsförordningen som strikt reglerar behandling av personuppgifter och kan medföra kraftfulla sanktioner. NIS-direktivet, omvandlat till i svensk lag, i En annan smidig lösning är att hyra in ett ombud på deltid, h2|Dataskyddsombud – det hetaste jobbet inom IT Senaste artiklar sp|GDPR berör alla bo|Lag om informationssäkerhet för samhällsviktiga och digitala tjänster ställer långtgående krav på informations- och it-säkerhet för särskilt definierade samhällsviktiga tjänster. Säkerhetsskyddslagen ställer krav på en hög säkerhet, däribland informations- och it-säkerhet, för säkerhetskänslig verksamhet, utan att dessa definieras direkt. Gemensamt för dessa regelverk är att de ställer krav på införande av systematiska arbetssätt i form av organisation, rutiner och tekniska lösningar, i i flera fall med direkta hänvisningar till internationella standarder, till exempel ISO27001, beträffande ledningssystem för informationssäkerhet. pa| di|Varje upplysning som avser en identifierad eller identifierbar fysisk person oavsett det handlar om strukturerad eller ostrukturerad data som till exempel, text, foto, ljud, bild, dokument, e-postmeddelande för att nämna några typer. En åtgärd eller kombination av åtgärder beträffande personuppgifter som insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, spridning med mera. Samtliga behandlingar av personuppgifter som inte är av rent privat natur, till exempel ett släktalbum på Flickr, träffas av reglerna Det här innebär att så fort det finns något slag av verksamhetssyfte så är förordningen tillämplig. Det här gäller även ideella föreningars register eller offentliga verksamheter. Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som bestämmer över registreringen. För juridiska personer är det i praktiken företrädarna för dessa som ansvar för efterlevnaden. Reglerna gäller såväl strukturerad som ostrukturerad data oavsett format: text, foto, ljud, bild, video, dokument, e-postmeddelande träffas. Även ett omnämnande eller en artikel i en företagsblogg. Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Eftersom personuppgiftsansvarig har bevisbördan för att samtycke inhämtats, föreligger i praktiken ett dokumentationskrav. I normalfallet obehörig åtkomst av personuppgifter, men även förstöring, förlust, ändring eller obehörigt röjande av sådana uppgifter Sådana incidenter ska anmälas till Datainspektion inom 72 timmar från det att incidenten upptäcktes, och direkt till registrerad om det är sannolikt incidenten innebär en hög risk för dennes rättigheter och friheter li|När personuppgiftsbehandlingen genomförs av en myndighet eller ett offentligt organ, eller När kärnverksamheten består av behandling som, på grund av sin karaktär, omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, st| h1|FAQ h3|FAQ h4| sp|Vad är en personuppgift? Vad är en personuppgiftsbehandling? Vilka typer av register/behandlingar träffas? Vem är personuppgiftsansvarig? Vilka format gäller reglerna - bara strukturerad data, eller? När ska ett dataskyddsombud (DPO) finnas? Vad är ett samtycke? Vad är en personuppgiftsincident? Vilka regler gäller för personuppgiftsincident? pa|Vår ikon med kugghjul speglar vårt förhållningssätt: Vi anser att en kurs ska ge deltagarna praktiskt tillämpbara verktyg för hemmaplan, annars är det ”bara” en föreläsning (vilket vi också tillhandahåller, men som egen tjänst). Våra kurser innehåller teoretiska moment och praktiska tillämpningar som mynnar ut i en egen pärm, där du får en grund till praktisk tillämpning på hemmaplan. Dataskyddsförordningen är ett spretigt regelverk. Det innehåller påbud, förbud och normerande föreskrifter och är inte alldeles lätt att omsätta i den dagliga verksamheten. I en förberedande fas hanterar vi detta att genom att tillämpa en särskilt anpassad projektmodell. När det kommer till den dagliga verksamheten behöver vi ett annat typ av stöd, där de nya rutinerna sömlöst integreras med befintlig verksamhet. Enligt Dataskyddsförordningen artikel 24 1. åligger det personuppgiftsansvarig att genomföra lämpliga för att säkerställa och kunna visa att personuppgiftsbehandlingar utförs i enlighet med förordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Enligt artikel 5.2 åligger det, vidare, personuppgiftsansvarig att i allmänhet kunna visa att principerna i förordningen efterlevs (ansvarsskyldighet). Datainspektionen har i ett yttrande om lagförslaget om nationell läkemedelslista och frågan om E-hälsomyndigheten som huvudman ytterligare understrukit det här kravet (Datainspektionen 73-2017 sid 10, sista st). Det som avses med tekniska och organisatoriska åtgärder är ett ledningssystem, i det här fallet ett ledningssystem för att säkerställa förordningens efterlevnad. Ledningssystem för GDPR (GLIS) är således lösningen för att kontinuerligt kunna möta kraven i förordningen. Det motsvaras ett LIS inom informationssäkerhetsområdet och har samma kännetecken. Kunskaperna om hur vi sätter upp – och erfarenheterna kring – GLIS är dock begränsade och det finns ett stort behov av få vägledning och stöd här. att du ska kunna sätta upp eget första GLIS på hemmaplan Kursen ges centralt i Stockholm, palts medelas efter anmälan. en dag (start 09:00) 7.900 kr ex moms per deltagare Priset inkluderar för- och eftermiddagskaffe. Kursavgift ska vara betald innan kurstillfället. P-A Brattemo, Prologon. li|Styrdokument Organisation Rutiner och instruktioner Metoder, modeller och funktionsstöd ”Årshjulet”: planering, genomförande och uppföljning) Avvikelsehantering Löpande förvaltning av ledningssystemet (revisoner, berättelser) Policy och förskrifter (implementering av förordningen) Hur transformerar vi GDPR till ett ledningssystem Vilka artiklar omvandlar vi till rutiner GDPR-rutiner Organisation (DSO och PuA- och den reguljära organisationen) Metoder, mallar och stöd Årshjulet samt löpande förvaltning av systemet Revisioner Övningar och gemensamma diskussioner och genomgångar st|ett givande och tagande med gemensamt ansvar för resultatet. tekniska och organisatoriska åtgärder Vad är ett ledningssystem, gemensamma moment i samtliga typer av ledningssystem Vad är ett GLIS Mål: Omfattning: Pris: Kursledare: h1|Kurser h3|Kurs i ledningssystem för GDPR Kursen innehåller bland annat följande moment: Anmälan: pa|E-post: kontakt@prologon.se Tel: +46 (0)701-91 42 55 Ett bekvämt sätt att komma i kontakt med oss är att använda formuläret nedan. Skicka ditt meddelande så återkommer vi så fort vi kan. st| sp|Kontakt Kontakt pa|P-A har en bakgrund som förvaltningsjurist och bland annat har arbetat med EU-frågor. P-A har en förvärvad kompetens inom it med över 25 års erfarenhet från svensk och internationell botten. Han har har lett och medverkat i antal projekt, inom och i nära anslutning till området. P-A har också verkat som lärare i juridik på ekonomutbildningen vid Uppsala universitet samt föreläst på KTH (Kista). P-A anlitas som seniorkonsult och föreläsare inom GDPR och NIS, och har en lång erfarenhet av utbildnings- och handledarverksamhet. Torbjörn är urpsrungligen apotekare och har arbetat med it-frågor sedan 80-talet. Han har verkat som it-chef på en stor svensk myndighet och byggt upp informationssäkerhetsenheten där. Han har även verkat som inhyrd it-chef inom två svenska kommuner. Torbjörn har pågående uppdrag som strategisk rådgivare i informationssäkerhetsfrågor (sedan 2010) och fullgör uppdrag som projektledare i nationella it-projekt inom hälso- och sjukvårdsområdet samt genomfört GAP-analyser och utbildat inom riskhantering i privata och offentliga organisationer. st|Prologon samverkar inom en grupp med seniorkonsulter och experter, vissa med certifiering inom tillämpliga områden, för att ge kunderna en anpassad och sammanhållen tjänst. P-A Brattemo, Prologon h1|Om oss h4|Torbjörn Sjölin, Pharminfo pa| di|Utifrån tid och efterfrågan erbjuder vi öppna kurser på plats i Stockholm. Kurserna ger en god förståelse över de krav som regelverken ställer, samt – genom egna övningar – underlag för en anpassning på hemmaplan i form av en praktisk styrpärm som kan fungera som handlingsplan. Vi erbjuder även dessa utbildningar i form av , med särskild anpassning mot aktuell verksamhet. Vi erbjuder särskild framtagen företagsintern föreläsning om cirka tre timmar som kan användas för att ge i en snabb introduktion för berörd personal. Föreläsningen avslutas med en fråge – eller seminariestund. Föreläsningen debiteras med en fast avgift och genomförs på plats i företagets lokaler. Utslaget per deltagare – ett effektivt och prisvärt alternativ. Personlig handledning och coachning för berörd personal (även formella befattningshavare). Insatsen skräddarsys utifrån behovet och aktuell kompetens. Utbildning varvas med kontinuerlig uppföljning och bistånd i konkreta projekt. Ombud att hyra för kortare eller längre period. Kan vara aktuellt för att möta ett initialt behov som inte kan täckas med egna resurser. Tjänsten kan med fördel kombineras med handledning av intern personal i syfte att ta över befattningen på sikt. Förordningen anvisar uttryckligen externt bistånd som en lösning via ”tjänsteavtal” (art 37 6.). Projektledning, delprojektledning, och expertstöd vid implementering. Vi har lång erfarenhet av såväl helhets- som delansvar för projekt inom området. Vi tar "tempen" på dina rutiner och arbetet kring aktuella regelverk. Revision med GAP-analys mot förskriven nivå med förslag på åtgärder beträffande dataskydd (GDPR) och informationssäkerhet (ISO 27001). Resultatet ger oftast en bra grund till en prioriterad handlingsplan Vi granskar och upprättar biträdesavtal enligt föreskriven nivå i Dataskyddsförordningen. Vi kan även bistå med att inrätta interna rutiner, mallar och checklistor kring hanteringen. st|Dataskydd och informationssäkerhet är vittomfattande och ställer stora krav på kompetens, kunskap, styrning, utbildning, IT-system och administrativa styrsystem. Ibland handlar det om att en särskild befattning ska inrättas (DPO), andra gånger att vissa rutiner och processer ska implementeras. För att möta det mest akuta behovet har vi satt samman ett antal relevanta tjänsteerbjudanden: från enskilda insatser till löpande tjänster: företagsinterna kurser h3|Tjänster sp|Våra tjänster Våra tjänster Utbildningar och kurser Föreläsningar Handledning – mentorskap Dataskyddsombud (DPO) Projektledning och expertstöd Uppföljning, tillsyn och revision Granskning och upprättande av PuB-avtal pa|25 maj nästa år införs EU:s nya dataskyddsförordning, som bland annat ersätter personuppgiftslagen PuL. Få vet att företag kan komma att få böta miljonbelopp om människor som begär det inte tas bort ur deras register. Den nya dataskyddförordningen, GDPR (EU) 2016:679, som träder i kraft den 25 maj 2018 innebär ett paradigmskifte i svensk rättstradition /…/ Förordningen utfärdades under våren 2016 och den förutsätter ett omfattande analys- och anpassningsarbete innan den träder i kraft nästa år. Inom offentlig verksamhet har en del analysarbete påbörjats, men de praktiska problemställningarna återstår fortfarande. Inom privat verksamhet står man i allmänhet och stampar och vet inte riktigt i vilken ände man ska börja, om man /…/ Den kanske viktigaste principen i förordningen är att krävs uttalat samtycke för att en persons uppgifter ska kunna bli föremål för registrering (behandling). Lagtekniskt är det löst så att över huvud taget endast registrering är tillåten (artikel 5 1.), där rekvisitet (artikel 6) innefattar att den registrerade har gett sitt samtycke att dennes personuppgifter behandlas för ett eller flera specifika ändamål/…/ st| sp|GDPR artiklar GDPR artiklar em|Ursprungligen publicerad i Dagens Samhälle 22 februari 2017. laglig laglig pa|GDPR står för General Data Protection Regulation eller Dataskyddsförordningen på svenska. Det är en EU-förordning som med exakt lika lydelse gäller för alla länder inom EU. Det vanligaste inom EU är att man skapar gemensamma regler genom direktiv, vilket innebär att det enskilda landet omvandlar direktivet till inhemsk lagstiftning. Genom detta ges en möjlighet att i vissa avseenden ge en lokal prägel på reglerna, till exempel mildra konsekvenserna vid brott mot dessa. I det här fallet är det en förordning, som kommer ur en annan lagstiftningstradition med väldigt tuffa sanktioner. De personer som är ansvariga är juridiska personer (bolag), fysiska personer (individer), offentliga verksamheter (kommuner, landsting, myndigheter) och andra organisationer (till exempel föreningar). . Rent privata syften undantas, till exempel ett släktalbum på Flickr, men allt annat träffas. De uppgifter som förordningen skyddar inkluderar alla uppgifter som – på ett eller annat sätt – kan knytas till en enskild individ. Det gäller inte bara strukturerad data i en databas eller annat register, utan även ostrukturerade uppgifter, till exempel ett e-postmeddelande, ett enskilt dokument, eller ett omnämnande i en företagsblogg. Det finns heller inget krav på att uppgifterna ska finnas i just ett IT-system, utan även fysiska register och arkiv innefattas. När det gäller själva formatet träffas alla format, som text, ljud, bild, video med mera. Förordningen reglerar . Med det avses insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning och spridning av personuppgifter. Det vill säga i princip varje sak man kan tänkas vilja göra med uppgifterna Den som är registrerad ska som huvudregel samtycka till behandlingen för ett tydligt och avgränsat syfte. Det ställs särskilda krav på hur samtycket ska utformas. Samtycket kan återkallas när som helst av den registrerade. En registrerad har också alltid rätt att begära ut sina uppgifter, ändra om det föreligger något fel eller radera dem. Registrerade har också rätt att förbjuda ytterligare bearbetning av uppgifterna, till exempel för statistikuttag eller direkt marknadsföring. Om det finns en avtals- eller affärsförpliktelse i botten som förutsätter att uppgifter samlas in behövs –av naturliga skäl – inget samtycke, men uppgifterna får endast användas för just det syftet, och inget annat. Utöver det här ställs också krav på en aktiv och hög av informationssäkerhetsnivå. Ett dataintrång ska meddelas inom 72 timmar till tillsynsmyndigheten (Datainspektionen) och i vissa fall, direkt till den registrerade. Rent allmänt har personuppgiftsansvarig det yttersta ansvaret för att förordningen följs. Utöver det finns det antal särskilt angivna uppgifter: li|Ansvara för (en aktiv och hög) informationssäkerhet Föra register över alla personuppgiftsbehandlingar Ansvara för att föreskriven organisation inrättas Bistå tillsynsmyndigheten (Datainspektionen) st|Böter upp till det högre beloppet av antingen 20 miljoner EURO eller 4% av årsomsättningen. Med andra ord träffas alla av förordningen personuppgiftsbehandling h1|GDPR for dummies… h3|Vad är GDPR? Vem behöver bry sig om GDPR? Vilka typer av uppgifter? Vilka aktiviteter regleras? Hur ser skyddet ut? Vad ska jag göra som personuppgiftsansvarig? pa|All information som kan kopplas till en enskild individ räknas som en personuppgift. Även så kallade indirekta uppgifter som t.ex. användar-ID, IP-nummer, direkttelefonnummer eller mobilnummer, foton, filmer och inspelade samtal räknas som personuppgifter. Behandling av personuppgifter är varje åtgärd som utförs med personuppgifter, oavsett om det sker automatiskt eller inte. Du kan utgå ifrån att allt som görs med en personuppgift i en dator räknas som en behandling. Insamlingen är en behandling, registreringen är en behandling, utskriften är en behandling o.s.v. Det är inte bara IT-system och databaser som räknas som behandlingar utan även Word-filer och Excel-filer räknas som behandlingar. Personuppgiftsansvarig för behandlingen av Prologons personuppgifter är Prologon AB Vi överför inte dina uppgifter vidare till någon tredje part. Vi behandlar och registrerar personuppgifter som du lämnar till oss. För att ta del av våra tjänsteerbjudanden behöver vi normalt uppgifter från dig som namn, personnummer, telefonnummer, e-postadress, och faktureringsadress. All behandling av personuppgifter sker i enlighet med bestämmelserna i gällande dataskyddslagstiftning. Dina personuppgifter behandlas för att hantera och fullgöra avtal med dig. Behandling av personuppgifter sker även för att vi ska kunna fullgöra våra förpliktelser enligt lag eller andra bestämmelser. Dina personuppgifter används för administration av de tjänster som vi ingått avtal med dig om. Om du kontaktar oss via webb kan dina personuppgifter och den information du ger oss även behandlas genom lagring. Vi kommer att behålla dina personuppgifter så länge du är kund hos oss. Därefter kommer de att sparas för olika lagkrav, som exempelvis bokföringslagen eller arkivlagen. Radering eller gallring av personuppgifter kommer att ske enligt vår gallringsplan/dokumenthanteringsplan utifrån typ av personuppgift. Du har rätt att få information om vilka personuppgifter som förekommer om dig i vår verksamhet. Om du vill veta vilka uppgifter vi behandlar om dig, kan du lämna eller skicka en skriftlig och av dig undertecknad begäran om det till Prologn på den adress som anges nedan under ”kontakt”. Vi kommer att lämna ut uppgifter till dig inom en månad från att vi har mottagit din förfrågan, under vissa omständigheter (såsom antalet inkomna förfrågningar) kan denna tid utökas till två månader, om så är fallet kommer vi att meddela detta inom en månad. Till samma adress kan du anmäla om du inte vill att dina uppgifter ska användas för marknadsföring eller profilering i marknadsföringssyfte. Om du anser att en uppgift om dig är felaktig eller missvisande bör du höra av dig på en gång. Förutom rätten att få ett registerutdrag och att få personuppgifter rättade, har du i vissa fall också rätt att invända mot behandlingen eller kräva att personuppgifterna raderas, att dess användning begränsas (att hanteringen av personuppgiften ska begränsas till något visst syfte) och att de uppgifter som du har lämnat till oss lämnas ut till dig på ett maskinläsbart format (s.k. dataportabilitet). Du har också rätt att återkalla eventuellt samtycke som du har gett. Du återkallar ditt samtycke genom att kontakta Prologon på den adress som anges nedan under ”kontakt”. Vår behandling kommer då att upphöra från det datumet som ditt återkallande är mottaget och registrerat hos oss. Kontaktinformation: st|Vad är en personuppgift? Vad är en behandling av personuppgifter? Vem behandlar dina uppgifter Vilka uppgifter vi behandlar om dig Varför vi behandlar dina uppgifter Hur länge vi kommer att behandla dina uppgifter Dina rättigheter Kontakt h1|Personuppgiftspolicy h3|Personuppgiftsbehandling (hur vi behandlar dina personuppgifter) pa|De uppgifter som träffas av förordningen avser samtliga uppgifter som kan knytas till en individ, oavsett om de är lagrade i strukturerad eller ostrukturerad form – en databas respektive ett e-postsystem för att ta två exempel. Alla möjliga typer av uppgifter träffas, inte bara namn och personnummer, utan samtliga upptänkliga uppgifter som kan relateras till en person, som löpande anteckningar, fritidsintressen, köppreferenser och annat. Formatet spelar heller ingen roll, bilder, video och ljud m.m. täcks in. Finns uppgiften lagrad och den kan knytas till en viss individ träffas den av förordningen. De subjekt, eller uppgiftsansvariga, som omfattas är varje person – juridisk eller fysisk – som lagrar uppgifterna för någon form av verksamhetssyfte (oftast kommersiella syften). Rent privata syften, till exempel ett digitalt släktalbum eller en adressbok med vänner, faller således utanför. Men allt annat träffas. Genom förordningen ges den registrerade en, nära nog, oinskränkt makt att förfoga över sina uppgifter, d.v.s. få dem utlämnade till sig, motsätta sig vidare bearbetning av dem , begära ändring och få dem raderade. De får heller inte samlas in utan ett tydligt och övervägt samtycke från den enskilde. De naturliga undantagen gäller bland annat rättsvårdande myndigheter samt verksamhet inom hälso- och sjukvård och motsvarande verksamheter grundad i lag. För samtycke kommer det, till exempel, inte räcka med ett enkelt kryss i en ruta i ett webbformulär, utan det måste vara tydligt, väl övervägt och fattat i eget sammanhang. Utöver dessa krav ställs, bland andra, mycket höga krav på en aktiv informationssäkerhet från registerhållarens sida. . Vilket kommer att innebära nya och tydligt preciserade krav på en hög nivå av data- och informationssäkerhet. Till reglerna kopplas ett kraftfullt sanktionssystem De som bryter mot dessa kan drabbas av böter upp till motsvarande det högsta beloppet av 4% av årsomsättningen eller 20 miljoner euro (omkring 200 miljoner kronor). Det är just det här momentet som gör att det verkligen händer: att regelverket måste tas på allvar. Ingen kan kosta på sig att rycka på axlarna. Regelverket innebär omfattande konsekvenser för hur vi sätter upp, hanterar och skapar rutiner kring berörda system, liksom mycket långtgående krav på aktiv informationssäkerhet. st|Förordningen utfärdades under våren 2016 och den förutsätter ett omfattande analys- och anpassningsarbete innan den träder i kraft nästa år. Inom offentlig verksamhet har en del analysarbete påbörjats, men de praktiska problemställningarna återstår fortfarande. Inom privat verksamhet står man i allmänhet och stampar och vet inte riktigt i vilken ände man ska börja, om man ens känner till förordningen. Av debatten att döma är medvetenheten i allmänhet liten Det finns få tecken på att berörda verkligen har fattat – och fattat på riktigt. Ett misstänkt dataintrång ska meddelas till Datainspektionen inom 72 timmar och (i de flesta fall) direkt till den registrerade Kraftfullt sanktionssystem h1|Nyckelfakta kring GDPR h2|Inläggsnavigering h4|Uppgifter, format, ansvariga Registrerads rättigheter och krav på informationssäkerhet pa|, GDPR (EU) 2016:679, som träder i kraft den 25 maj 2018 innebär ett paradigmskifte i svensk rättstradition och kommer att ha svåröverskådliga konsekvenser för svenskt samhällsliv – i stort och i smått. Det är ett brett regelverk som träffar både offentlig och privat verksamhet samt enskilda individer. berörs av förordningen är samtliga sådana som kan knytas till en individ, oavsett om de är lagrade i strukturerad eller ostrukturerad form. Alla möjliga typer av uppgifter berörs, inte bara namn och personnummer, utan samtliga uppgifter som kan relateras till en specifik person, och det oavsett format. ges den registrerade nära nog oinskränkt makt att förfoga över sina uppgifter, det vill säga få dem utlämnade till sig, motsätta sig vidare bearbetning, begära ändring i dem och få dem raderade. samlas in utan ett tydligt och övervägt samtycke från den enskilde. För samtycke kommer det, till exempel, inte räcka med ett enkelt kryss i en ruta i ett webbformulär, utan det måste vara tydligt, väl övervägt och fattat i eget sammanhang. Utöver dessa ställs mycket höga krav på en aktiv informationssäkerhet från registerhållarens sida. ett kraftfullt sanktionssystem. Den som bryter mot reglerna kan drabbas av böter upp till motsvarande det högsta beloppet av 4 procent av årsomsättningen eller 20 miljoner euro, eller omkring 200 miljoner kronor. Det är här det blir allvar. Ingen kan kosta på sig att rycka på axlarna. innebär omfattande konsekvenser för hur vi sätter upp, hanterar och skapar rutiner kring aktuella system, liksom mycket långtgående krav på aktiv informationssäkerhet, finns det en aspekt som inte belysts särskilt mycket hittills, men som har fundamentala konsekvenser för en hel bransch: rätten att få sina uppgifter raderade, eller som det sägs i förordningen ”rätten att bli bortglömd” (Artikel 17). återkallar sitt samtycke, och registerhållaren saknar laglig eller avtalsgrundad skyldighet att behålla uppgifterna, måste de ovillkorligen raderas. Fullständigt och överallt där de finns lagrade. Om en person inte längre vill vara kund, bli kontaktad eller förekomma i något register, är den som ansvarar för uppgifterna skyldig att se till att samtliga uppgifter tas bort, det vill säga att personen glöms bort. Notera att detta resonemang förutsätter att samtycke erhållits på det sätt som föreskrivits i förordningen. få register i det här sammanhanget i dag som uppfyller det kravet, varför dessa redan i utgångsläget kommer att vara oförenliga med förordningen och i och med detta kommer att kunna träffas av höga böter. kraftmätningen mellan Konsumentverket och NIX om att öka effektiviteten i NIX-registret är därmed redan överspelad. Förordningen kommer med automatik att råda bot på oönskad telemarketing och annan uppringning med kommersiella förtecken. Det räcker med att den som blir uppringd begär att få sina uppgifter raderade från den kontaktlista som det uppringande företaget använder sig av, så är företaget skyldigt att ta bort dessa och ”glömma bort” personen. Om inte, finns det risk för böter upp till 200 miljoner kronor – eller mer. frågan inställer sig: var är debatten? Är en hel bransch omedveten om att deras fundamentala existensvillkor är på väg att ryckas undan, och var finns konsumentupplysningen i samband med detta? st|25 maj nästa år införs EU:s nya dataskyddsförordning, som bland annat ersätter personuppgiftslagen PuL. Få vet att företag kan komma att få böta miljonbelopp om människor som begär det inte tas bort ur deras register. Den nya dataskyddförordningen De uppgifter som Genom förordningen De får heller inte Till reglerna kopplas Även om regelverket Om den registrerade Förmodligen är det Den pågående Det är här som h1|Rätten att bli bortglömd blir lag h2|Inläggsnavigering pa|Den kanske viktigaste principen i förordningen är att krävs uttalat samtycke för att en persons uppgifter ska kunna bli föremål för registrering (behandling). Lagtekniskt är det löst så att över huvud taget endast registrering är tillåten (artikel 5 1.), där rekvisitet (artikel 6) innefattar att den registrerade har gett sitt samtycke att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Ett särskilt samtycke krävs dock inte om behandlingen är nödvändig för att fullgöra en avtalsförpliktelse (art 6 1. b) Om det föreligger en avtalad förpliktelse mellan parterna att en tjänst ska utföras, till exempel en försäkringstjänst, ligger det i saken natur att försäkringsbolaget får behandla nödvändiga personuppgifter för att fullfölja sina åtaganden. I det fallet kan samtycket i någon mening sägas vara underförstått. Vissa uppgifter krävs för att ena parten ska kunna utföra det som åligger dem enligt avtalet. En annan sak är hur långt det här underförstådda samtycket sträcker sig, vilka uppgifter och vilken behandling det täcker. Här är förordningen mycket restriktiv och anger att det är endast behandling (för att fullgöra avtalet) som täcks in, d.v.s. faller behandlingen inom det avtalade syftet. Olika typer av efterbearbetningar kommer därför i många fall at träffas av förbudet. Det här innebär att det kommer att krävas särskilt samtycke för till exempel statistikkörningar, profileringar, bearbetning i Business Intelligence-syfte, säljerbjudanden och liknande. Insamlad kunddata är i många fall grunden för nya och förfinade affärsmodeller, men det är det inte så självklart längre. En möjlig väg ut ur detta skulle kunna vara att det tydligt och klart framgår av avtalet att den avtalade tjänsten även innefattar sådan bearbetning. Förmodligen kommer det dock att krävas att särskilda samtycken hämtas in i de här fallen. st| h1|Samtycke enligt avtal – hur långt sträcker sig det? h2|Inläggsnavigering em|laglig laglig nödvändig