Det är dags för en ny dataskyddslag

The General Data Protection Regulation (GDPR) har slutligen godkänts av EU:s parlament. Den nya dataskyddsförordningen kommer träda i kraft i alla EU-länder från och med den 25 maj 2018. Aktörer som omfattas av den nya lagen har nu 2 år på sig att efterleva kraven.

• Tjänsteleverantörer och andra aktörer som hanterar personlig data på uppdrag av andra organisationer kommer ha direkta skyldigheter, ex implementering av säkerhetsåtgärder för att skydda personlig data.
• I händelse av ett dataintrång (där personlig data berörs) måste den som drabbats inom 72 timmar meddela detta till berörd tillsynsmyndighet. De personer som drabbats måste också meddelas utan fördröjning.
• Organisationer måste vara mer transparenta när det gäller datainsamling och hur data används. Det måste framgå i klartext hur uppgifter används och användare måste ge sitt samtycke. Det ska även vara möjligt att på ett smidigt sätt kunna återkalla sitt samtycke.
• Organisationer kommer behöva detaljerade uppgifter om personlig data som hanteras eftersom utdrag kan behöva tas fram för att tillfredsställa tillsynsmyndigheter. Dataminimering måste integreras i projekt som behandlar personlig data och riskanalyser kring integritetskonsekvenser måste utförs vid högriskhantering av personlig data.
• ”GDPR applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.” Med andra ord omfattar GDPR även organisationer utanför EU.