EU:s uppgiftsskyddsreform

Dataskyddsförordningen

Dataskyddsdirektivet

Hur förbereda sig på EU:s dataskyddsförordning?

Varför ändras dataskyddslagstiftningen?

Frågor om dataskyddsförordningen

Dataskyddsförordningen

Finlands och EU:s dataskyddslagstiftning håller på att reformeras. EU:s allmänna dataskyddsförordning tillämpas fr.o.m. 25.5.2018 i alla EU-länder. Dataskyddsförordningen (General Data Protection Regulation, GDPR) tillämpas i regel på all behandling av personuppgifter. På våra sidor hittar du anvisningar och utbildningar relaterade till dataskyddsförordningen. Dra nytta av dem i förberedelserna för dataskyddsförordningen.

Dataskyddsförordningen kompletteras och preciseras genom nationell lagstiftning. Justitieministeriets arbetsgrupp har i sitt betänkande föreslagit en ny nationell dataskyddslag som skulle träda i kraft 25.5.2018 då också dataskyddsförordningen börjar tillämpas. För närvarande bereds lagen vid justitieministeriet.

Dataskyddsdirektivet

Dataskyddsdirektivet utgör del av EU:s reform av dataskyddslagstiftningen. Dataskyddsdirektivet tillämpas på polisens och andra myndigheters behandling av personuppgifter i brottmål. Justitieministeriets arbetsgrupp har föreslagit att dataskyddsdirektivet ska verkställas nationellt genom lag i samband med behandling av personuppgifter i brottmål och upprätthållande av nationell säkerhet. Dataskyddsdirektivet ska genomföras före 6.5.2018.

Hur förbereda sig på EU:s dataskyddsförordning?

Många principer förblir oförändrade, men dataskyddsförordningen medför också nya skyldigheter avseende dataskyddet och behandlingen av personuppgifter som registeransvariga och handläggare av personuppgifter bör förbereda sig på. Brott mot dataskyddsförordningen kan leda till bland annat böter eller förbud mot att handlägga personuppgifter.

På vår webbplats hittar du anvisningar och utbildningar som hjälper dig att förbereda dig på dataskyddsförordningen.

Centralt och nytt i dataskyddsförordningen är bland annat den riskbaserade metoden och registeransvarigas ansvarsskyldighet. Registeransvarigas skyldigheter ökar ju större risker behandlingen av personuppgifter involverar. Registeransvariga ska också kunna visa att dataskyddsförordningen iakttas. Behandlingen av personuppgifter ska planeras och dokumenteras.

Iakttagande av dataskyddsprinciperna

Registeransvariga ska se till att de dataskyddsprinciper som fastställs i dataskyddsförordningen iakttas i alla skeden när personuppgifter behandlas.

Enligt dataskyddsprinciperna ska personuppgifter

• behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade

• behandlas konfidentiellt och säkert

• insamlas och behandlas i ett visst, uttryckligt och lagligt syfte

• insamlas endast i den grad som de behövs med tanke på syftet med behandlingen av personuppgifter

• alltid uppdateras vid behov ‒ inexakta och felaktiga personuppgifter ska raderas eller rättas utan dröjsmål

• förvaras i en form som möjliggör identifiering av den registrerade endast så länge som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Förberedelser inför dataskyddsförordningen

När du förbereder dig på dataskyddsförordningen:

1. Ta reda på om din organisation ska utse en dataskyddsansvarig.

2. Utred hur din organisation behandlar personuppgifter. Gå igenom alla skeden i behandlingen av personuppgifter från insamling till radering och dokumentera dem. Se till att din organisation iakttar den personuppgiftslag som är tillämplig i dag.

3. Utred på vilka grunder din organisation behandlar personuppgifter. Det ska alltid finnas en laglig grund för behandling av personuppgifter.

4. Bedöm vilka risker behandlingen av personuppgifter medför för din organisation. Utred hur riskerna kan minimeras. Vidta åtgärder som motverkar riskerna relaterade till behandlingen av personuppgifter. Till exempel när behandlingen av personuppgifter sannolikt involverar en hög risk ska registeransvariga göra en konsekvensbedömning gällande dataskyddet.

5. Utred hur din organisation respekterar registrerades rättigheter enligt dataskyddsförordningen. Utred också hur registrerades förfrågningar besvaras för närvarande. Uppdatera processerna så att de uppfyller dataskyddsförordningens krav.

6. Ta hand om dataskyddet. Förbered dig på att anmäla dataskyddskränkningar av personuppgifter.

7. Se till att avtalen om uppdrag motsvarar villkoren i förordningen, om din organisation har lagt ut uppgifter relaterade till behandling av personuppgifter på entreprenad. Beakta dataskyddsförordningen också i andra avtal och upphandlingar.

8. Definiera den ledande tillsynsmyndigheten, om din organisation har verksamhet i flera EU-länder.

9. Utred hur din organisation ska beakta barnens särställning. Framöver behöver barn samtycke eller fullmakt av sin vårdnadshavare eller någon annan som bär föräldraansvaret för att använda informationssamhällets tjänster. I Finland är åldersgränsen ännu inte klar, men den kommer att vara minst 13 och högst 16 år.

Varför ändras dataskyddslagstiftningen?

Målet för den nya lagstiftningen är att

• förbättra skyddet för personuppgifter och de registrerades rättigheter

• besvara nya dataskyddsfrågor relaterade till digitaliseringen och globaliseringen

• harmonisera regleringen av dataskyddet i alla EU-länder

• främja utvecklingen av en inre digital marknad.

Frågor om dataskyddsförordningen

Dataombudsmannens byrå kan inte ta ställning till detaljerade frågor om tillämpning och tolkning av EU:s allmänna dataskyddsförordning som gäller en enskild organisation. Enligt den nu tillämpliga personuppgiftslagen har dataombudsmannen inte föregripande behörighet att ge tillstånd eller utfärda förbud, utan dataombudsmannens byrå ska att ge allmän handledning och rådgivning. Vi har publicerat anvisningar om dataskyddsförordningen, och fler allmänna anvisningar är under arbete.

Arbetsgruppen WP29 som består av EU:s dataskyddsmyndigheter publicerar anvisningar om tolkningen av dataskyddsförordningen. En del av anvisningarna har redan publicerats på vår webbplats, och nya anvisningar publiceras när de blir klara.

Läs mer:
WP29-arbetsgruppens webbplats (på engelska)

 
Publicerad 21.2.2018