Nyckelinformation om RODO

Vad är RODO?  

RODO står för förordningen om skydd av personuppgifter. Det är en EU-förordning där vi kan läsa de bestämmelser som skyddar oss från att våra personuppgifter lämnas ut. Den antogs den 27 april 2016 och trädde i kraft den 25 maj 2018 och måste följaktligen följas från och med den tidpunkten.  

Varför finns RODO? Vad är dess syfte?  

Huvudsyftet med förordningen är harmoni, vilket kommer att göra det möjligt för personuppgifter att flöda fritt över Europeiska unionens gränser. Detta kommer att leda till att EU-medborgarna får större kontroll över sina egna uppgifter. En annan otvivelaktig fördel är minskad byråkrati och, som ett resultat av detta, större kundförtroende.  

Den 10 maj 2018 antog Sejm lagen om skydd av personuppgifter, som säkerställer att vi som land kommer att följa EU:s förordning och dessutom skapar ett nytt organ som ansvarar för att kontrollera denna process - därav befattningen som ordförande för myndigheten för skydd av personuppgifter. Lagen trädde i kraft den 25 maj 2018.  

Vem är ordförande för byrån för skydd av personuppgifter? 

Den ersatte den polska generalinspektören för skydd av personuppgifter, och dess ansvarsområden definieras endast i lagen. Tjänsten inrättades samma dag som RODO-lagen. Han tog över sin föregångares uppgifter, men dessutom: 

• får begära att nya bestämmelser införs eller att befintliga bestämmelser ändras när det gäller skydd av personuppgifter;  
• kan ålägga ekonomiska sanktioner när den upptäcker en överträdelse.  

Vad förutsätter den nya lagen?  

• Enklare tillgång till data och mer information om hur data ska behandlas samt transparens.  
• Ny rätt till dataportabilitet, vilket gör det lättare att överföra data mellan tjänsteleverantörer.  
• Rätten att bli bortglömd, som gör att vi snabbt kan radera våra uppgifter.  
• Rätten att bli informerad i händelse av dataintrång.
• Ny teknik som pseudonymisering (begränsning av möjligheten att identifiera en person) och kryptering.  

Vilka är principerna för behandling av personuppgifter?  

Det finns sju huvudprinciper för behandling av personuppgifter, som är utgångspunkten för de särskilda bestämmelserna: 

1. Principen om rättvisa, laglighet och öppenhet.  

2. Principen om ändamålsbegränsning.  

3. Principen om uppgiftsminimering.

4. Principen om regelbundenhet. 

5. Princip för begränsning av lagring. 

6. Principen om integritet och konfidentialitet. 

7. Principen om ansvarsskyldighet.  

Kan påföljder förväntas för bristande efterlevnad av RODO-reglerna? 

I förordningen kan vi hitta information om vad som händer om vi bryter mot RODO-reglerna. Dessa är huvudsakligen böter. Det går att urskilja två olika straffskalor för personuppgiftsansvariga: 

• Upp till 10 miljoner euro för överträdelser som beror på att personuppgiftsansvariga inte har uppfyllt sina skyldigheter, t.ex: 

- informationsskyldighet;  

- Bristande beaktande av inbyggt dataskydd och dataskydd som standard;  

- felaktigt förda register över bearbetningsaktiviteter eller avsaknad av sådana;  

- Otillräcklig säkerhet i IT-systemen;  

- Underlåtenhet att genomföra en konsekvensbedömning avseende dataskydd;  

- Underlåtenhet att utse ett dataskyddsombud trots att det fanns en skyldighet att göra detta.  

• Upp till 20 miljoner euro i händelse av:  

- Personuppgiftsansvarigas överträdelse av de grundläggande principerna för behandling av personuppgifter, inbegripet underlåtenhet att uppfylla villkoren för inhämtande av samtycke; 

- kränkningar av de registrerades rättigheter;  

- otillbörliga överföringar av personuppgifter till mottagare i tredjeländer eller internationella organisationer.  

Det är viktigt att påpeka att alla personer som har lidit skada till följd av en förbiseende från den registeransvariges sida har rätt att kräva ersättning. Naturligtvis finns det en väg ut ur varje suboptimal situation, så när den personuppgiftsansvarige bevisar att förbiseendet inte var hans fel kommer han inte automatiskt att behöva betala ersättning.  

Vad är samtycke till behandling av personuppgifter?

RODO innebär att det är företagets ansvar att informera kunden om att RODO finns och att be om ett sådant samtycke. Tänk på att samtycket måste vara: 

• frivilligt, ingen kan tvinga oss att underteckna ett samtycke - det är upp till oss själva;  
• betong;  
• specifikt, är samtycket giltigt om det ges för en specifik användning av uppgifterna;  
• medvetna och därmed transparenta;  
• Det bör vara enkelt att dra tillbaka den. 

Vilka är minimikraven för samtycke?  

• Den personuppgiftsansvariges identitet - det måste alltid finnas information om vem som ber oss om detta samtycke och vem som kommer att använda våra uppgifter.
• Syftet med varje behandling måste vara klart definierat.
• Typer av datainsamling och användning samt möjligheten att återkalla samtycke.
• Information om beslut som kan fattas automatiskt.  
• Information om möjligheten att skicka uppgifter till tredje land.  

På grund av den mängd data som finns att känna till om RODO finns det möjlighet att gå en kurs för att strukturera vår kunskap. Utbildningarna är främst utformade för personer som kommer i kontakt med principerna för behandling av personuppgifter på daglig basis eller på jobbet, men detta utesluter inte en utomstående från att delta. Det är viktigt att vara medveten om vad vi skriver under på, vad vi kan förvänta oss och vilka rättigheter vi har. Med RODO-utbildning kan vi få ett antal svar på frågor som vi är intresserade av och kanske inte ens har insett är viktiga för vår säkerhet. Varje kurs avslutas med en bekräftelse på deltagande och inhämtad kunskap i form av ett certifikat.