Det var strax före jul som EU-kommissionen, Europarådet och EU:s ministerråd kom överens om innehållet i den nya dataskyddslagstiftningen, som diskuterats under flera år. Till skillnad från ett direktiv innebär en förordning att det blir gällande lag i Sverige, direkt när den antas.
Den svenska Datainspektionen är positiv till förslaget.
- Detta är den största händelsen för skyddet av den personliga integriteten sedan den nuvarande personuppgiftslagen trädde i kraft 1998. Den nya förordningen innebär bland annat att nya krav ställs på bolag som samlar in personuppgifter och att enskilda får större rättigheter, säger Kristina Svahn Starrsjö, generaldirektör på Datainspektionen, i en presskommentar.
Genom de nya reglerna stärks individens rätt att själv bestämma över sina personuppgifter till exempel genom att få möjlighet att se kopior över vilka uppgifter som samlats in och ha rätt att "bli bortglömd", det vill säga få sina uppgifter raderade ur databaser. Reglerna om samtycke till insamling av personuppgifter blir strängare.
För bolagen kommer att krävas mer av riskanalyser, policies och rutinbeskrivningar, och det gäller alla behandlingar av personuppgifter, nya som gamla, stora IT-system som enkla excelfiler, enligt konsultbolaget Privacyline AB (tidigare PUL-Akademin), som specialiserat sig på rådgivning kring personuppgiftslagen. Även hackningsförsök av databaser med personuppgifter måste anmälas till Datainspektionen.
Samtidigt införs böter för organisationer och företag som inte följer de nya reglerna. Taket sätts på 20 miljoner euro eller 4 procent av den årliga globala omsättningen för företag. För myndigheter blir straffsatsen en nationell lagstiftningsfråga.
När den nya förordningen antagits, troligen i april-maj 2016, har företag och myndigheter två år på sig att anpassa sina behandlingar av personuppgifter.
Tänk på att …
Se över alla IT-leverantörsavtal, även avtal med underleverantörer och deras underleverantörer.
