Hosted Hyper-V
För högsta möjliga stabilitet och tillgänglighet
Webbhotell
Vill du växa eller ha obegränsat direkt?
Dedikerad Server
Kompletta och kostnadseffektiva dedikerade serverlösningar med hög kapacitet och tillgänglighet.
Skräddarsydd hosting
Vi paketerar en driftsmiljö efter dina önskemål och behov.

 


Webmail

 

email-icon



Webmail

 


Helpdesk

support
 

Ärendehanteringssystem


Driftinformation

 

Läs mer


Kontakt support

 

Läs mer


Fjärrsupport


support

 

Support

GDPR/PUL NYA EU KRAV

Vad innebär reformen?

Den nya dataskyddsförordningen GDPR träder ikraft den 25 maj 2018, och innebär bland annat hårdare krav på hantering av personuppgifter.

GDPR kommer att gälla för samtliga organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina kontakter, anställda eller kunder.


Detta innebär i princip att samtliga av HDW´s kunder kommer att omfattas av den nya lagen och vi vill uppmärksamma om att det är god tid att få ett grepp om situationen redan nu. Vilka uppgifter har vi lagrat? Hur lagrar vi dem? Vad är syftet?


GDPR Ersätter PuL

GDPR kommer att ersätta Personuppgiftslagen (PuL) i Sverige, men även kompletteras med nationella regler. Förutom plikten att anmäla till Datainspektionen att man hanterar personuppgifter så finns alla krav som tidigare fanns i PuL kvar i den nya förordningen. Den stora skillnaden är att direktivet innebär betydligt strängare krav för hantering av personuppgifter. Bland annat ställs ett krav på att företagen redan från början bygger in ett högt integritetsskydd i sina system och i de processer som används.


Personer som registreras får utökade rättigheter och kommer få möjlighet att kräva skadestånd om dessa rättigheter inte tillgodoses. En viktig nyhet i den nya dataskyddsförordningen är också att det uttryckligen anges att den som behandlar personuppgifter ska ansvara för och kunna visa att man följer bestämmelserna i dataskyddsförordningen (ansvarsskyldighet).


Vad utgör personuppgifter enligt GDPR?

All information som är hänförlig till fysiska personer som kan användas för att direkt eller indirekt identifiera personen. Det kan vara ett namn, ett foto, mailadress, bankuppgifter, inlägg på sociala nätverk, medicinskinformation eller en IP-adress.

I PuL finns en regel som innebar enklare regler för personuppgifter i ”ostrukturerat material”. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När dataskyddsförordningen ersätter personuppgiftslagen kommer denna regel, den så kallade missbruksregeln, inte längre finnas kvar.

När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund (se nedan), informera de registrerade och föra register över sina behandlingar.


Rättigheter för den enskilde till följd av GDPR

Genom GDPR förstärks de enskildas rättigheter. För att följa förordningen måste företag som lagrar personuppgifter se till att ni kan säkerställa att ni ger enskilda dessa rättigheter. De viktigaste rättigheterna är att den enskilde ska…

1.få tillgång till sina personuppgifter

2.få felaktiga personuppgifter rättade

3.få sina personuppgifter raderade

4.kunna invända mot att personuppgifterna används för direktmarknadsföring

5.kunna invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering

6.få flytta personuppgifterna (dataportabilitet)


Rättsligt grund för behandling av personuppgifter

En nyhet som följer av förordningen är att det numera uppställs ett krav på att den som vill behandla personuppgifter måste ange vilket rättslig grund man har för detta redan då insamlingen av uppgifterna sker.


En sådan rättslig grund är till exempel samtycke från den registrerade. Andra rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighetsutövning, samt att rätten för att behandla personuppgifter vid en intresseavvägning kan anses väga tyngre än den registrerades intresse av skydd för sina personuppgifter.


Anmälningsplikt till Datainspektionen

Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade.


Vite

Företag som inte lever upp till förordningens krav kan tvingas betala vite motsvarande upp till 4 % av företagets årsomsättning eller upp till 20 miljoner euro. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.


Sammanfattning av de viktigaste nyheterna i GDPR
1.När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.

2.Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).

3.Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).

4.Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.

5.Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler.

6.Den så kallade missbruksregeln försvinner.


Källa till uppgifterna: Allt om juridik.


Så vad är det för nya krav som ställs på datahanteringen? Bland annat är det numera en rättighet för varje individ att få ta del av den information som kan kopplas till denne samt få den raderad om så önskas. Dessutom måste informationsläckor övervakas bättre och berörda parter informeras inom 72 timmar efter att de inträffar. Ett misslyckande med att anpassa sig till de nya kraven kan resultera i vite på 200 mnkr eller 4 % av omsättningen, vilket understryker vikten av att ta reformen på allvar.