Vad bör jag veta om GDPR-lagstiftningen?

Integritetslagstiftning

Integritetslagstiftning är inte ny. Inom Europeiska unionen (EU) har varje medlemsland för närvarande sin egen integritetslagstiftning. Dessa nationella lagar är alla baserade på det europeiska integritetsdirektivet från 1995. I Nederländerna är den nationella implementeringen av detta direktiv personuppgiftslagen (Wbp).

allmänna dataskyddsförordningen trädde i kraft den 25 maj 2018. Det innebär att från och med det datumet kommer det att finnas en enda integritetslag i hela EU. Dataskyddsförordningen kommer inte längre att gälla, men de grundläggande principerna i den lagstiftningen kommer fortfarande att utgöra kärnan i den nya GDPR. Den nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens) övervakar efterlevnaden av de lagstadgade reglerna för skydd av personuppgifter.

Vad är det allmänna syftet med GDPR?

Det övergripande syftet med den allmänna dataskyddsförordningen är att skydda EU-medborgare inom området integritetsregler och personuppgifter. GDPR ger rättigheter gällande personuppgifter som delas med organisationer som samlar in, lagrar och behandlar sådana uppgifter.

Vem gäller GDPR?

GDPR gäller alla organisationer som samlar in personuppgifter från EU-medborgare. En organisation behöver inte vara etablerad i EU för att omfattas av GDPR. Om en organisation är belägen utanför EU och samlar in personuppgifter inom EU gäller GDPR för den organisationen.

Vad kommer att förändras?

Den nya GDPR skärper reglerna från den nuvarande personuppgiftslagen. I slutändan är mycket detsamma. Dataminimering, rätten att bli bortglömd, informationsskyldighet och databehandlingsavtal har alltid varit en del av lagen, om än ibland under andra namn.
En sund integritetspolicy, en tydlig integritetspolicy, sunda avtal mellan databehandlare och personuppgiftsansvariga samt en procedur för dataintrång är också fortfarande viktiga.

Många befintliga regler har skärpts avsevärt i den nya GDPR, och flera nya skyldigheter har lagts till. Större vikt läggs vid organisationernas egna ansvar att följa lagen och att kunna visa efterlevnad.

Vad kan jag göra själv?

Som organisation kan ni redan vidta åtgärder för att vara GDPR-redo. För att hjälpa er har den nederländska dataskyddsmyndigheten listat de 10 viktigaste stegen.

Vad är personuppgifter?

GDPR anger att personuppgifter är all information som rör en identifierad eller identifierbar fysisk person. Det finns många typer av personuppgifter. Tydliga uppgifter inkluderar en persons namn, adress och bostadsort. Men telefonnummer och postnummer med husnummer är också personuppgifter. Känsliga uppgifter såsom en persons ras, religion eller hälsa kallas också särskilda kategorier av personuppgifter. Dessa ges ytterligare skydd enligt lag.

Vad innebär behandling av personuppgifter?

Behandling avser alla åtgärder en organisation kan utföra med personuppgifter, från insamling till förstöring. Lagen listar följande som exempel på behandling: insamling, registrering, organisering, lagring, bearbetning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller tillgängliggörande, sammanställning eller sammankoppling, begränsning, radering och förstöring av uppgifter.
Lagen föreskriver att en organisation endast får behandla personuppgifter om det är nödvändigt för ett specifikt ändamål.

Bearbetningsprinciper

GDPR introducerar kärnprinciper som all behandling av personuppgifter måste följa:

• personuppgifter måste behandlas på ett rättvist, lagligt och öppet sätt;
• personuppgifter får endast behandlas för ett specifikt, uttryckligt ändamål;
• endast personuppgifter som är nödvändiga för ändamålet får behandlas;
• uppgifterna måste vara korrekta och aktuella;
• om identifiering inte längre är nödvändig för ändamålet ska personuppgifterna raderas eller anonymiseras, och;
• personuppgifterna måste säkras genom tekniska och organisatoriska åtgärder.

Terminologi för personuppgiftsansvariga/personuppgiftsbehandlare

I GDPR används termerna "registeransvarig" och "personuppgiftsbehandlare" istället för termerna "ansvarig" och "personuppgiftsbehandlare" från personuppgiftslagen (Wbp). Den nederländska översättningen av GDPR ger följande definitioner:

Personuppgiftsansvarig
En fysisk eller juridisk person, myndighet, byrå eller annat organ som, ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter. Dessa är Teqas kunder som köper i-Reserve

Personuppgiftsbehandlare:
En fysisk eller juridisk person, myndighet, byrå eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Detta är vi som organisation, leverantören av i-Reserve i-Reserve -hosting .

Den registrerade
är den person vars personuppgifter en organisation behandlar. Det betyder den person som personuppgifterna avser. Det här är dina kunder, slutanvändarna.

Behandling av särskilda personuppgifter.
Utöver vanliga personuppgifter erkänns även särskilda personuppgifter enligt lagen. Det är uppgifter som är så känsliga att behandlingen av dem allvarligt kan äventyra någons integritet. Enligt GDPR är behandling av särskilda personuppgifter förbjuden om inte ett undantag gäller.

Särskilda personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter i syfte att unikt identifiera en person, uppgifter om hälsa, sexliv eller sexuell läggning. Sådana uppgifter får därför endast behandlas under mycket strikta villkor.

Vilka är de viktigaste förändringarna för organisationer?

Om den allmänna dataskyddsförordningen gäller har organisationer som behandlar personuppgifter fler skyldigheter.

krav
är att organisationer måste kunna visa att de har fått ett giltigt samtycke från individer att behandla deras personuppgifter. Det måste också vara lika enkelt för individer att återkalla sitt samtycke som att ge det. Detta måste vara ett otvetydigt viljeuttryck. Så inga fler förkryssade rutor! Begäran om samtycke måste vara tydlig, begriplig och presenterad på ett enkelt språk.
I slutändan måste organisationer kunna bevisa att den registrerade har lämnat sitt samtycke. Registrerade har rätt att när som helst återkalla sitt samtycke, och denna rätt måste meddelas dem.

OBS:
Det är inte alltid nödvändigt att begära samtycke för lagring av personuppgifter. Till exempel så länge de lagrade uppgifterna är begränsade till vad som är nödvändigt för att fullgöra avtalet. I andra fall måste du begära samtycke. För att ta reda på vad som gäller för dig kan du hitta mer information .

Administrativ skyldighet:
GDPR medför en dokumentationsskyldighet, vilket innebär att organisationen måste kunna visa att den agerar i enlighet med GDPR. Detta inkluderar samtycke, information som lämnas, den registrerades rättigheter, datasäkerhet, minimering av behandling och avtal med personuppgiftsbehandlare. Därför: Kartlägg databehandlingsaktiviteterna inom organisationen. Många organisationer kommer att behöva uppdatera sina integritetspolicyer, och detta är viktigt. Underlåtenhet att ha en (fullständig) integritetspolicy kommer snart att resultera i en rejäl böter.

När GDPR träder i kraft kommer Wbp:s skyldighet att rapportera databehandling till tillsynsmyndigheten inte längre att gälla. Istället kommer organisationer att vara skyldiga att föra egna register över behandlingsaktiviteter (”behandlingsregister”) som sker under deras ansvar.

Databehandlingsavtal:
Att ingå ett databehandlingsavtal är inget nytt, eftersom det redan är obligatoriskt enligt den nederländska dataskyddslagen (Wbp). Enligt GDPR kommer detta nu att kallas ett databehandlingsavtal och gäller mellan den personuppgiftsansvarige och den part som behandlar personuppgifterna för denne (för närvarande känd som personuppgiftsbehandlare, snart kallad personuppgiftsbehandlare). Det nya är dock att GDPR specificerar flera obligatoriska delar av detta avtal, inklusive:

• syftet med behandlingen;
• vilken typ av personuppgifter som behandlas;
• kategorierna av registrerade;
• att lämpliga säkerhetsåtgärder kommer att vidtas;
• att personuppgiftsbehandlaren samarbetar vid revisioner för att kontrollera om personuppgiftsbehandlaren uppfyller alla skyldigheter, och;
• efter behandling, förstöring eller återlämnande av personuppgifterna till den personuppgiftsansvarige

Från och med nu kommer personuppgiftsbiträdet inte längre att få anlita en extern part för att behandla personuppgifter utan föregående skriftligt samtycke från den personuppgiftsansvarige.

Konsekvensbedömning av integritet (PIA).
En konsekvensbedömning av dataskydd (DPA) är ett viktigt verktyg för organisationer att bedöma eller utvärdera sin integritetspåverkan. Genom att använda DPA kan organisationer systematiskt integrera skydd av personuppgifter i sin intresseavvägning och sitt beslutsfattande.

Personuppgiftslagen (PIA) specificerar varför, hur och hur länge personuppgifter behandlas. En konsekvensbedömning av integritetsskydd är obligatorisk om behandling av personuppgifter, särskilt med hjälp av ny teknik, utgör risker för registrerade.

Krav på anmälan av dataintrång:
Vi har redan detta krav i nederländsk lag: anmälan av dataintrång. Detta krav är också införlivat i GDPR och förblir i stort sett oförändrat. GDPR ställer dock strängare krav på din egen registrering av dataintrång som har inträffat inom din organisation. Du är skyldig att dokumentera alla dataintrång.

Förebygg stress genom att planera i förväg hur du ska reagera om en säkerhetsrisk uppstår. Till exempel måste du som personuppgiftsansvarig i vissa situationer rapportera ett dataintrång till den nederländska dataskyddsmyndigheten inom 72 timmar. Om intrånget sannolikt utgör en hög risk för de personer vars uppgifter påverkas måste även de underrättas. Definiera därför ett arbetsflöde för säkerhetsincidenter i förväg, så att rätt personer kan fatta snabba beslut om vilka åtgärder som ska vidtas.

Den nederländska dataskyddsmyndigheten har publicerat policyregler för anmälan av dataintrång.

Du kan behöva ett dataskyddsombud.
Ett dataskyddsombud (DPO) är en oberoende person inom organisationen som ger råd och rapporterar om efterlevnaden av GDPR. Även om en DPO inte var obligatorisk enligt den nederländska dataskyddslagen (Wbp), är den i vissa situationer obligatorisk enligt GDPR. Lagen kräver en DPO när du behandlar känsliga personuppgifter, såsom hälsouppgifter, i stor skala, eller om du regelbundet observerar människor (fysiskt eller digitalt). En DPO kan utses internt, men kan också utses externt.

Den registrerades rättigheter
: Personuppgifter måste behandlas lagligt, rättvist och transparent i förhållande till den registrerade. Transparens är av största vikt: den registrerade måste informeras om vad som händer med deras personuppgifter. Allt måste kommuniceras på ett enkelt och tydligt språk.
Utöver de välkända rättigheterna till åtkomst, rättelse och invändning ger GDPR den registrerade även:

• rätten att bli bortglömd,
• rätten till dataportabilitet (även känd som dataportabilitet),
• rätten att begränsa behandlingen och
• Rätten att invända mot viss behandling. Den registrerade har rätt att när som helst invända mot behandling av sina uppgifter för direkt marknadsföring. Om den registrerade gör en sådan invändning får deras uppgifter inte längre behandlas för marknadsföringsändamål.

Rätt till tillgång:
En registrerad har rätt att få bekräftelse från den personuppgiftsansvarige om huruvida deras personuppgifter behandlas. När personuppgifter behandlas har den registrerade rätt till information om dessa uppgifter. Den registrerade har bland annat rätt till information om:

• ändamålen med behandlingen;
• de berörda kategorierna av personuppgifter;
• de mottagare till vilka personuppgifterna lämnas ut;
• lagringsperioden;
• det faktum att den registrerade har rätt att begära rättelse, radering eller begränsning av behandling och rätt att invända;
• det faktum att den registrerade kan lämna in ett klagomål.

Rätt till rättelse och rätt att invända
En registrerad har rätt att få felaktiga personuppgifter korrigerade av den personuppgiftsansvarige. Detta ska ske utan onödigt dröjsmål. Den registrerade kan invända mot vissa typer av databehandling, vilket kan leda till att behandlingen av deras personuppgifter måste avbrytas. Tänk dig en organisation som använder personuppgifter för marknadsföringsändamål. (För närvarande finns det redan en absolut rätt att invända för direktmarknadsföring. Om en registrerad utövar denna rätt får du inte längre kontakta dem för marknadsföringsändamål.)

Rätt att bli bortglömd
I vissa situationer har den registrerade rätt att få sina uppgifter raderade helt. GDPR lägger till ytterligare grunder för denna senare rättighet. GDPR introducerar rätten att bli bortglömd. Detta innebär att den personuppgiftsansvarige måste radera personuppgifter utan onödigt dröjsmål, till exempel när personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller behandlas ytterligare. Det krävs också att den personuppgiftsansvarige, på en sådan begäran, informerar de parter som uppgifterna har delats med. Namnen på dessa parter måste också delas med den registrerade. Den personuppgiftsansvarige måste vidta rimliga åtgärder för att radera uppgifterna, inklusive eventuella länkar, kopior eller reproduktioner av dessa.

Kolla även in alternativet att automatiskt anonymisera i i-Reserve .

Rätt till dataportabilitet.
GDPR introducerar rätten till dataportabilitet, eller portabilitet av personuppgifter. Detta innebär att du kan få förfrågningar från dina kunder om att göra deras personuppgifter tillgängliga. Detta gäller all digital data som en organisation behandlar med den registrerades samtycke, plus data som är nödvändiga för att fullgöra ett avtal. Sökhistorik eller platsdata faller också under rätten till portabilitet. Som organisation är du då juridiskt skyldig att tillhandahålla uppgifterna i ett "strukturerat, allmänt använt och maskinläsbart" format. Du kan förbereda dig för detta genom att överväga hur du kommer att göra uppgifterna tillgängliga. Till exempel genom att använda ett verktyg som gör det möjligt för dina kunder att ladda ner sina data direkt och säkert.

Om det är tekniskt möjligt måste den personuppgiftsansvarige vidarebefordra uppgifterna direkt till en annan personuppgiftsansvarig. Detta kan till exempel göras med hjälp av ett applikationsprogrammeringsgränssnitt (API), vilket möjliggör en koppling mellan ditt system och en applikation som tillhör en annan part.

I i-Reserve att själv ladda ner sina uppgifter , för administratören att exportera eller vidarebefordra data via ett API .

Integritet som standard och integritet genom design
GDPR inför en skyldighet att skydda data genom standardinställningar (Integritet som standard) och genom justerbar funktionalitet (Integritet genom design) i programvaran.

Kravet på integritet som standard innebär att ni måste implementera tekniska och organisatoriska åtgärder för att säkerställa att ni som standard endast behandlar personuppgifter som är nödvändiga för det specifika syfte ni avser att uppnå. Till exempel, där användare själva kan justera sina integritetsinställningar bör de vara inställda på högsta nivå som standard.

Skyldigheten att se till att personuppgifter skyddas genom design innebär att du måste säkerställa att de är skyddade vid utformning av produkter, tjänster och organisatoriska processer.

Exempel:

• När du erbjuder en app, låt inte användare registrera sin plats om det inte är nödvändigt;
• Förkryssa inte rutan "Ja, jag vill ta emot erbjudanden" på webbplatsen;
• Om någon vill prenumerera på ett nyhetsbrev, be inte om mer information än nödvändigt.

Klicka här för att se vad i-Reserve gör för att säkra och skydda personuppgifter .

Säkerheten måste vara i ordning – och förbli så
. Att skydda personuppgifter är avgörande. Utan kryptering, tvåfaktorsautentisering och möjligheten att separera och säkert radera personlig information tar din organisation en betydande risk.

Överträdelser och sanktioner:
Det maximala bötesbeloppet per överträdelse av den nuvarande integritetslagen är för närvarande 900 000 euro. GDPR ger nationella tillsynsmyndigheter större befogenheter att sanktionera överträdelser av GDPR. Böterna är betydande och kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen om en organisation inte följer lagens krav. Böter som åläggs i Nederländerna utfärdas av den utsedda tillsynsmyndigheten: den nederländska dataskyddsmyndigheten (AP).
Letar du efter mer information? Du kan också hitta svar på vanliga frågor på autoriteitpersoonsgegevens.nl.

Kakor, skräppost, e-post, telemarketing och GDPR.
Regler för hantering av elektronisk kommunikation såsom kakor, Wi-Fi-spårning, e-post etc. finns inte fastställda i GDPR. Dessa omfattas av ePrivacy-direktivet – befintlig europeisk lagstiftning som kommer att uppdateras under 2018. EPrivacy-direktivet är även känt som cookielagen. Europeiska unionen hoppas kunna lansera de ändrade reglerna tillsammans med GDPR, samtidigt som medborgarna får ett större skydd för sin personliga information. Mer generellt fastställer denna lagtext de regler som organisationer måste följa för att garantera sekretessen för digital kommunikation.