image

GDPR ERSÄTTER PUL I MAJ 2018

Har du rutiner för vilka förändringar du behöver göra gällande det nya regelverket? Från och med den 25 maj 2018 ersätter en ny dataskyddsförordning (GDPR) den gamla personuppgiftslagen (PUL). Det är en gemensam EU-lag med möjlighet till vissa anpassningar i olika länder. I stora drag innebär den utökat skydd för personuppgifter och större krav på organisationer som hanterar dessa.

I och med den nya lagen så behöver företag och organisationer göra en omfattande översyn och analys av vilka förändringar man behöver göra i processer, rutiner, system och dokumentation för att säkerställa korrekt behandling och lagring av personuppgifter – internt och/eller via sina underleverantörer.

Eftersom den nya lagen har kravet om dataportabilitet d.v.s. att uppgifterna måste kunna exporteras och importeras maskinellt måste du kunna presentera uppgifterna i ett allmänt accepterat maskinläsbart format.

En viktig aspekt är bland annat hur man säkerställer samtycket från uppgiftslämnaren och hur det ska hanteras och lagras. Ska nån form av signering användas? Det finns krav på att man måste kunna visa i efterhand att samtycke har skett frivilligt och genom en klar viljeyttring. En i förhand ikryssad ruta på en webbplats godtas inte.

Säkerheten kring personuppgifterna måste stärkas

Rutiner måste finnas för personuppgiftsincidenter. Händelser måste i vissa fall rapporteras till tillsynsmyndighet och uppgiftslämnare. Allt detta leder till att säkerheten för personuppgifterna måste stärkas. Dels genom att göra konsekvensanalyser om riskerna och dels genom att stärka skyddet i IT-systemen.

Krav finns på privacy by design som innebär att skyddet i IT-systemen stärks genom t ex kryptering, pseudonymisering, som innebär att uppgifterna inte går att koppla till enskild person utan en nyckel som finns åtskild från uppgifterna, dataminimering, som innebär att endast minsta möjliga information används vid varje tillfälle. Datamaskning är en teknik att använda.

Alla dessa krav gör att mer eller mindre omfattande anpassningar måste göras i alla IT-system som hanterar personuppgifter.

Viktiga punkter att förhålla sig till: 

 • Fullständig historik av personuppgifter innebärande att man måste ha reda på varifrån och när man inhämtat personuppgifterna och till vilka man lämnat ut uppgifter och vid vilken tidpunkt.
 • Undantagsregler tas bort i samband med att nya lagen träder ikraft. Den s.k. missbruksregeln försvinner som tillät att man i vissa fall ha med kunde ha personuppgifter i löpande text om det inte kunde anses kränkande för personen i fråga.
 • Om det gäller barns personuppgifter måste vårdnadshavares samtycke inhämtas.
 • Finns verksamheter i olika länder med olika regelverk att ta hänsyn till.
 • Måste definiera den rättsliga grunden för att lagra personuppgifter. Den måste redovisas till personen i fråga tillsammans med hur länge uppgifterna ska lagras och vilken tillsynsmyndighet (Datainspektionen) klagomål ska ställas till.

De registrerades rättigheter måste tillgodoses vilket innebär:

 • få tillgång till sina personuppgifter
 • få felaktiga personuppgifter rättade
 • få sina personuppgifter raderade
 • invända mot att personuppgifterna används för direktmarknadsföring
 • invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
 • flytta personuppgifterna (dataportabilitet). 

Frågor?

Behöver du hjälp med få en fungerande process för att klara IT-kraven gällande GDPR – hör av dig till oss på Seavus Stockholm. Vi har konsulter som kan bidra med både kravarbete, databas och systemutveckling!

CEO Seavus Stockholm, Dimitris Panagio, dimitris.panagio@seavus.com eller på telefon: 073-380 00 43