Ny dataskyddsförordning – vad innebär den för svenska företag och privatpersoner?

Efter många år av förhandlingar antogs en slutlig version av en ny dataskyddsförordning den 15 december 2015 av EU-kommissionen, EU:s ministerråd och Europaparlamentet. Dataskyddsförordningen kommer nu att översättas och språkgranskas innan den formellt förväntas antas under andra kvartalet 2016. Sedan följer en tvåårig implementeringsperiod, innan förordningen väntas bli gällande i Sverige. För svenskt vidkommande innebär detta att förordningen förväntas införlivas under våren 2018 men det är av vikt att redan nu framtidsäkra och anpassa svenska organisationer då många bestämmelser kräver noggrann genomgång och förändringar av nuvarande hantering och policys. 

För bolag medför de nya reglerna bland annat följande:

• En kontinent, en lag: Genom förordningen kommer det att skapas en enda uppsättning regler, vilket kommer att göra det enklare, mer förutsägbart och billigare för bolag att göra affärer i EU.
• En kontaktpunkt: Bolag kommer endast behöva samverka med en tillsynsmyndighet. 
• Europeiska regler på europeisk mark: Bolag baserade utanför Europa kommer behöva tillämpa samma regler som EU-bolag när de erbjuder tjänster inom EU.
• Ökade krav för personuppgiftsbiträden: Det kommer att ställas betydligt högre krav på personuppgiftsbiträden inte minst då överträdelser av förordningen kan leda till höga administrativa böter för både personuppgiftsansvarig och personuppgiftsbiträde.
• Innovationsanpassade regler: För att säkerställa regelefterlevnad, ska både personuppgiftsansvarig och personuppgiftsbiträde utforma nya system och processer på ett sådant sätt att dessa redan från start får ett inbyggt integritetsskydd, så kallade Privacy by Design. Integritetsvänliga tekniska lösningar såsom psedonymisering kommer att uppmuntras så att man drar nytta av innovation i fråga om stordata och samtidigt skyddar privatlivet. 
• Höga vitesbelopp vid överträdelse: Datainspektionen kommer ges möjligheter att utdöma administrativa vitesbelopp, för att säkerställa efterlevnad av den nya förordningen. Vitesbelopp kan uppgå till EUR 20 000 000, eller 4 procent av bolagets globala omsättning. 

För enskilda medför de nya reglerna bland annat följande: 

• Förenklad åtkomst till egna personuppgifter: Enskilda ska få mer information om hur deras uppgifter behandlas. Informationen ska göras tillgänglig på ett klart sätt och vara lättförståelig.
• Rätt till uppgiftsportabilitet: Det kommer att bli lättare att överföra personuppgifter mellan tjänsteleverantörer. 
• Rätt att bli bortglömd: Om en person inte längre vill att personuppgifter ska behandlas och det saknas legitima skäl för att behålla uppgifterna, ska de raderas. 
• Rätten att få veta när dina uppgifter har hackats eller på annat sätt läckt ut: Företag och organisationer måste till den nationella tillsynsmyndigheten (Sv. Datainspektionen) anmäla allvarliga personuppgiftsbrott, snarast möjligt så att användarna kan vidta lämpliga åtgärder.