Informationssäkerhet

VAD ÄR DATASKYDDSFÖRORDNINGEN (GDPR)?

GDPR – INFORMATIONSSÄKERHET FÖR PERSONUPPGIFTER

Dataskyddsförordningen (GDPR, The General Data Protection Regulation) gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras.

Medan informationssäkerhet i stort handlar om att skydda all skyddsvärd information, handlar dataskyddsförordningen om att skydda just personuppgifter. Till skillnad från traditionell informationssäkerhet har i GDPR extra fokus lagts på att även skydda enskildas grundläggande rättigheter och friheter, och inte bara skydda organisationers intressen. Men med ett bra informationssäkerhetsarbete går dessa två intressen hand i hand. Dataskyddsförordningen går att läsas i sin helhet på Datainspektions hemsida.

NÄR MÅSTE DATASKYDDSFÖRORDNINGEN FÖLJAS?

Dataskyddsförordningen gäller för personuppgiftsbehandling som har anknytning till EU, antingen när den som behandlar personuppgifterna är etablerad inom EU eller då någon utanför EU erbjuder tjänster och varor till personer inom unionen eller övervakar deras beteenden här.

Dataskyddsförordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner.

VAD MENAS MED PERSONUPPGIFT OCH PERSONUPPGIFTSBEHANDLING?

Dataskyddsförordningen gäller för behandling av personuppgifter. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress. Dessutom kan bilder på och ljudupptagningar av individer som behandlas i dator vara personuppgifter även om inga namn nämns.

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

KRYPTERING OCH PSEUDONYMISERING – GÄLLER ÄNDÅ DATASKYDDSFÖRORDNINGEN?

Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis ip-nummer och cookies, räknas som personuppgifter om de kan kopplas till fysiska personer. Även information som har kodats, krypterats eller pseudonymiserats men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter är personuppgifter.

ANSVARSSKYLDIGHET

En nyhet i dataskyddsförordningen är att det inte längre är tillräckligt att följa lagen, utan ni som är ansvarig för personuppgiftsbehandlingen måste också kunna visa att och hur ni följer bestämmelserna i dataskyddsförordningen.

Förutom ansvarsskyldighet finns ytterligare ett antal grundläggande principer som innebär att ni som personuppgiftsansvariga:

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är korrekta
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att och hur ni lever upp till dataskyddsförordningen.

Kontakta oss om ni vill veta mer om ert ansvar eller se våra paketlösningar för hur ni lever upp till dataskyddsförordningens krav.

HUR VISAR NI ATT NI FÖLJER DATASKYDDSFÖRORDNINGEN?

Ni kan visa att ni följer bestämmelserna i dataskyddsförordningen på flera sätt, till exempel genom att:

Se även våra paketlösningar för heltäckande lösningar.

DATASKYDDSOMBUD (DPO) 

VEM KAN VARA DATASKYDDSOMBUD?

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.

Dataskyddsombud kan vara:

  • en anställd eller en konsult
  • en fysisk person eller en organisation eller grupp
  • dataskyddsombud för en eller flera myndigheter eller företag.

Men ju mer komplex personuppgiftsbehandlingen är och ju större mängd känsliga uppgifter som behandlas, desto mer sakkunskap behöver dataskyddsombudet. Ett dataskyddsombud bör emellertid som minst:

  • ha kunskaper om dataskyddsförordningen
  • känna organisationens kärnverksamhet, hur organisationen behandlar personuppgifter och veta hur organisationens informationsteknik och IT-säkerhet fungerar
  • ha förmåga att sprida information och etablera en dataskyddskultur inom organisationen, varför även dataskyddsombudets personliga egenskaper viktiga

OBEROENDE STÄLLNING

Dataskyddsombudet ska kunna arbeta självständigt och oberoende, utan att bli påverkad av andra inom organisationen. Det är därför viktigt att dataskyddsombudet inte har andra arbetsuppgifter som kan krocka med rollen som dataskyddsombud.

En oberoende ställning kan bl.a. uppnås med externt dataskyddsombud.