Dataskyddsförordningen (GDPR)

Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen började gälla den 25 maj 2018 och ersatte då personuppgiftslagen (PuL).

Vilket är syftet?

Ett viktigt syfte är att förstärka skyddet för den enskildes eller den registrerades personliga grundläggande rättigheter och friheter, särskilt deras rätt till skydd av och kontroll över sina personuppgifter. Man behöver också modernisera tidigare direktiv och anpassa dessa till det nya digitala samhället.

Om vi sparar en personuppgift måste vi ha ett syfte med det. Det är bara de personer som har användning av uppgifterna som får komma åt dem och använda dem i just det syfte som det var tänkt från början. Vi har alltså ansvar för att se till så att uppgifterna hålls skyddade för utomstående. Personuppgifter får inte sparas längre än nödvändigt. Det innebär att när personuppgifterna inte längre behövs för det ändamål de samlades in för, ska de tas bort.

För vem gäller det?

Dataskyddsförordningen gäller för all slags verksamhet som behandlar personuppgifter. Att behandla en personuppgift är i princip all hantering man kan göra med personuppgifter, som att samla in, registrera, läsa, arkivera och lämna ut.

Vad räknas som personuppgifter?

En personuppgift är all information som kan kopplas till en levande person. Det kan till exempel vara ett namn, ett foto, en adress, ett telefonnummer eller en ljudupptagning. Det kan också vara mer känslig information om hälsa eller om personliga värderingar och åsikter.

Personuppgifter inom Tiohundra

Det finns många situationer då Tiohundra behandlar personuppgifter. Några vanliga situationer är:

• Journalföring inom hälso- och sjukvården.
• Statistik inom inom hälso- och sjukvården.
• Verksamhetsuppföljning och forskning inom vården.

Vad innebär dataskyddsförordningen?

Det är mycket i den nya förordningen som liknar personuppgiftslagen men den innebär också en del konkreta förändringar, bland annat:

• De som behandlar personuppgifter ska uppfylla den så kallade ansvarsskyldigheten. Det innebär att det bör finnas organisatoriska förutsättningar, dokumentation samt tydliga rutiner som säkerställer att behandling av personuppgifter sker i enlighet med regelverket.
• Det införs en dokumentationsskyldighet och en skyldighet att anmäla så kallade personuppgiftsincidenter, exempelvis dataintrång, inom 72 timmar.
• Varje organisation ska ha ett så kallat dataskyddsombud som bland annat ska informera och ge råd samt övervaka hur personuppgifter behandlas i den egna organisationen.

Missbruksregeln försvinner. Det innebär att även digital behandling av personuppgifter i ostrukturerad form, till exempel i löpande text, e-post, enkla listor, bilder och film, kommer att omfattas av förordningens hela regelverk.

Nya krav på innehållet i information till registrerade individer och personuppgiftsbiträdesavtal (PuB-avtal) införs.
Tillsynsmyndighet för dataskyddsförordningen kommer att vara Datainspektionen och det kommer även finnas en möjlighet för Datainspektionen att utfärda vite till den organisation som inte följer de nya reglerna.
Datainspektionen har bytt namn till Integritetsskyddsmyndigheten.

Hur påverkas Tiohundras verksamheter?

Inom bolaget pågår arbete med att se över våra system, rutiner och hantering av personuppgifter och anpassa våra verksamheter till den nya förordningen.

Så hanterar vi personuppgifter

Mer information om Dataskyddsförordningen på Integritetsskyddsmyndighetens webbplats

Om vad det innebär att finnas med i kvalitetsregister