GDPR – DATASKYDDSFÖRORDNINGEN

Den 25 maj 2018 fick EU en gemensam dataskyddsförordning som gäller för alla medlemsländer. Mer än 60 procent av all kundinformation lagras i affärsdokument, vilket innebär att de sannolikt innehåller personuppgifter skyddade av GDPR. Affärsdokument utgör därför en säkerhetsrisk när det gäller personuppgifter.

GDPR – dataskyddsförordningen

Anpassning och modernisering av reglerna

Den nya dataskyddsförordningen, GDPR, trädde i kraft 25 maj 2018 och ersatte därmed den svenska personuppgiftslagen (PUL). GDPR står för General Data Protection Regulation och syftar till att stärka skyddet för EU-medborgares personuppgifter. Alla företag och organisationer inom EU som på ett eller annat sätt hanterar personuppgifter, exempelvis om sina kunder eller anställda, omfattas av den nya lagen.

I Sverige har personuppgiftslagen gällt ända sedan 1973 och det europeiska dataskyddsdirektivet har funnits sedan 1995. Den digitala utvecklingen som har skett sedan dess har krävt nya regler, varför EU har utformat den nya dataskyddsförordningen, GDPR, för att modernisera och anpassa reglerna.

 

Personuppgifter

GDPR omfattar alla personuppgifter, oavsett hur och var dessa hanteras, såsom i löpande text, på hemsidor eller i e-postmeddelanden.

Varje hantering av personuppgifter måste ha ett specifikt ändamål och en rättslig grund. Rättslig grund kan exempelvis vara samtycke, avtal eller rättslig förpliktelse (som att rapportera löneuppgifter till Skatteverket eller sjukfrånvarouppgifter till Försäkringskassan). Man får inte samla in eller hantera fler uppgifter än vad som är nödvändigt för att uppnå ändamålet med personuppgiftsbehandlingen och man får heller inte spara uppgifterna längre än vad som är nödvändigt.

GDPR ställer långtgående krav på att IT-system ska vara utformade på ett sådant sätt att man lever upp till GDPRs krav. Det innebär exempelvis att det ska vara möjligt att ta bort uppgifter ur ett system eller att kommunikation behöver krypteras. Detta kallas ”privacy by design” och ”privacy by default”. Det innebär att personuppgifter som hanteras ska skyddas så att de inte stjäls eller av misstag raderas eller ändras, men att de raderas när de inte längre är nödvändiga.

GDPR ställer stora krav på företag, myndigheter och organisationers processer och rutiner för att kunna hantera personuppgiftsfrågor och leva upp till lagen.

GDPR – dataskyddsförordningen

Höga sanktioner

De organisationer som bryter mot lagkravet kan få böta upp till 20 miljoner euro eller 4 procent av företagets globala omsättning.

Läs gärna mer om GDPR på Datainspektionens webbplats. Här finns bland annat Dataskyddsförordningen i sin helhet.

Dryga böter om man bryter mot lagkravet.

Skillnader från idag

Det finns stora likheter mellan GDPR och den svenska personuppgiftslagen, men också ett antal skillnader. Här är några viktiga nyheter i GDPR som skiljer sig från vår nuvarande lagstiftning:

Dataportabilitet
Det innebär att man som registrerad har rätt att få ut de uppgifter man lämnat om sig själv, för att kunna använda i en annan medietjänst. Företag är skyldiga att underlätta överflyttning av personuppgifter.

Högre krav på säkerhet
Personuppgifter som hanteras ska skyddas så att det inte stjäls eller av misstag raderas eller ändras. Om det inträffar en säkerhetsincident, exempelvis dataintrång, måste detta anmälas till Datainspektionen inom 72 timmar.

Ökad transparens
Kraven blir strängare när det gäller ökad tydlighet i varför, vilka uppgifter som samlas in och hur de behandlas.

Spara inte längre än nödvändigt
Ex. Uppgifter om personer som inte längre är kunder ska tas bort från affärssystemen.