I maj 2018 träder en omfattande reform av dataskyddet i kraft i Europa. Den nya förordningen kallas dataskyddsförordningen och kommer att ersätta den gamla personuppgiftslagen (PUL). För den som driver mäklarföretag är det viktigt att rätta sig efter de nya bestämmelserna eftersom man annars riskerar stora sanktionsavgifter.
– Den här reformen kommer att få stora konsekvenser för alla företag, myndigheter och andra organisationer som hanterar personuppgifter och kommer också att stärka skyddet och rättigheterna för de personer vars uppgifter registreras, säger Datainspektionens generaldirektör Kristina Svahn Starrsjö på datainspektionens webbplats.
Tänk på att vara ute i god tid då det kan ta lång tid att få ordning på nya rutiner och eventuellt vidta de åtgärder som krävs gällande programvara och datasäkerhet. På datainspektionens hemsida finns bra information och råd. Bland annat checklistor för personuppgiftsansvariga.
Till stor del kommer den nya förordningen att likna PUL men det finns en del väsentliga skillnader.
- När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
- Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
- Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
- Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
- Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
- I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.
Läs mer på datainspektionens hemsida.
Länk till en kort film där datainspektionen berättar om den nya förordningen.