Om Dataskyddsförordningen
Dataskyddsförordningen har sitt ursprung i FNs deklaration om mänskliga rättigheter.
Förordningens syfte är att skydda privatpersoners integritet när organisationer samlar in, lagrar och använder deras uppgifter. Förordningen ger personer ett antal rättigheter och organisationer ett flertal skyldigheter.
Organisationer ska vidta tekniska och organisatoriska åtgärder för att skydda personuppgifter samt behandla dem respektfullt gentemot de registrerades intressen. De får till exempel inte samla in uppgifter och behandla dem som varor så som att sälja dem vidare (se t.ex. FB och Cambridge-Analytica fallet).
Innan personer lämnar sina uppgifter till en organisation ska de veta hur de behandlas, därför ska organisationer vara transparenta med sin personuppgiftsbehandling och redovisa vilka personuppgifter de samlar in, vad de används till och vilka de delas med i en integritetspolicy.
Vem har huvudansvaret och vilken hjälp kan ni få?
Den organisation som är ansvarig för personuppgifter kallas Personuppgiftsansvarig(PuA) och är skydlig att säkerställa att uppgifterna behandlas enligt sin integritetspolicy, förordningens krav och principer, även när de förs över till leverantörer. Det är VD:n som är högst ansvarig.
För att i juridisk mening vara säker på att personuppgifter skyddas av leverantörerna skriver man ett personuppgiftsbiträdesavtal med leverantören. Observera att er leverantörer alltid ska uppfylla era säkerhetskrav.
Kontakta mig för att få stöd och rådgivning i frågor som rör dataskydd och informationssäkerhet, projektledning, kartläggning av brister, genomföra av åtgärder, dataskyddsanalyser av leverantörer, upprätta Integritetspolicies, biträdesavtal, registerförteckning, uppfylla säkerhetskrav från era kunder eller upprätta och implementera rutiner för att efterleva Dataskyddsförordningen och informationssäkerhet (NIS).
Fyll i kontaktformuläret för att få mer information.
Hälsningar
Trond Falkenberg
Dataskydd- och informationssäkerhetskonsult
www.gdprkonsult.nu
Dataskyddsförordningens principer
För att behandling av personuppgifter ska vara laglig måste ändamålet för behandlingen stödjas med en rättslig grund.
Behandlingen av personuppgifter ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade. Vid användning av den legala grunden ”berättigat intresse” så ska det egna intresset vägas mot de registrerades intressen (t.ex. rätt till integritet).
Det ska vara enkelt och tydligt för de registrerade att hitta och ta till sig information om hur deras personuppgifter behandlas. De ska därför informeras om vilka uppgifter som behandlas och för vilka ändamål dessa behandlas. Principen innebär också att de registrerade ska få reda på att deras personuppgifter behandlas innan/i och med att detta sker. De registrerade ska också informeras om sina rättigheter.
Man får bara samla in och behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. T.ex ska ändamålen vara specifika och konkreta och de ska dokumenteras. Ändamålen sätter ramar för vad uppgifterna får användas till och hur länge de får sparas.
De personuppgifter som behandlas ska vara adekvata, relevanta och inte fler än nödvändigt i förhållande till ändamålet för behandlingen. Man får till exempel inte samla in uppgifter för obestämda framtida behov.
Personuppgifter som behandlas ska vara stämma överens med verkliga förhållanden och därför uppdateras regelbundet.
Personuppgifter får bara lagras så länge som de behövs för ändamålet med behandlingen. När personuppgifterna inte längre behövs för ändamålet ska de raderas eller avidentifieras.
Alla personuppgifter som behandlas ska skyddas så att ingen obehörig kan komma åt dem eller att de används på ett otillåtet sätt, blir förstörda, förloras eller blir exponerade för obehöriga. Man ska därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Tekniska åtgärder innebär till exempel brandvägg, kryptering, pseudonymisering, säkerhetskopiering och antivirusskydd. Organisatoriska åtgärder handlar om kunskap hos anställda och om att ha interna rutiner, instruktioner, riktlinjer och att ha avtal med leverantörer.
Företag ansvarar för att följa de grundläggande principerna för personuppgiftsbehandling. De ska också kunna visa upp dokument som visar hur man följer dem och på vilket sätt man gör det.
Copyright © All Rights Reserved