GDPR i korthet

27 April 2018


Miranda_vitbakgrund.jpg
Miranda Strand

Kampanjspecialist

miranda@doublegroup.se


GDPR står för General Data Protection Regulation och är en EU-förordning som handlar om hur personuppgifter får hanteras. Förordningen kommer alltså att skrivas in alla medlemsländers lag och ersätta tidigare EU-direktiv för datahantering. I Sveriges fall innebär det att GDPR kommer att ersätta Personuppgiftslagen (PUL ) från 1998. Den nya lagen träder i kraft 25:e maj.

Från PUL till GDPR

I takt med att teknologin utvecklas och att vi spenderar en stor del av vår tid i den digitala världen så är det på sin plats att vi har en modern dataskyddslag som speglar detta. Den nya dataskyddslagen, GDPR,  skärper individers rättigheter kring hur dennes personuppgifter kan hanteras av företag, organisationer och myndigheter. 

Till skillnad från Personuppgiftslagen (PUL) så kommer GDPR kräva högre standard för medgivande vid användning av vissa typer av data. Med andra ord – individer måste ge ett tydligt samtycke till att uppgifter samlas in om dem. Dessutom har individer rätt att få åtkomst till den data som har samlats in om dom, få veta hur den hanteras och har också rätten att få personuppgifterna borttagna. 

GDPR ger utökade möjligheter för den enskilda personen att faktiskt gå till handling (stämma) verksamheter när de upplever att de har lidit personlig skada vid felaktig hantering av personuppgifter. En annan stor skillnad från PUL är att straffsatsen för att inte följa den nya lagen är betydligt högre. EU har gått ut med att bötessumman kan bli upp till 4 % av företagets globala omsättning eller 20 miljoner euro (beroende på vad som är högst). Alltså kan det bli en hel del pengar i böter för de verksamheter som bryter mot GDPR!

Det finns mycket i GDPR som påminner om PUL. Problemet med PUL har varit att många verksamheter inte har följt lagen så som de borde. Bötessumman man har riskerat genom att inte följa PUL har inte heller varit av större belopp. I och med GDPR sätter EU ned foten för att visa på att hantering av personuppgifter ska tas på allvar. För de företag som redan följer riktlinjerna i PUL beräknas inga större förändringar för att följa GDPR. Det är dock viktigt att se över system och rutiner så att de faktiskt håller måttet. I och med den nya lagen kan företag behöva visa hur personuppgifter samlas in och sparas. Större företag (fler än 250 anställda) eller verksamheter som samlar in känsliga personuppgifter behöver skapa en förteckning över hur man hanterar dessa uppgifter.

Så vad räknas som en personuppgift?

Enligt Datainspektionen innefattas ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även bild- och ljuduppgifter om en (fysisk) person räknas som personuppgifter, även om inga namn nämns. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person”. 

PUL har fokuserat på sk ”strukturerad” data – tänk dig typiska databaser. GDPR tar ett hårdare grepp för vad som räknas som personuppgifter och innefattar också ”ostrukturerad data”. Bland annat data i form av text på webbplatser, chatt och mejl. Så länge som information kan kopplas till en enskild person så är det alltså en personuppgift. 

I vissas fall kan personuppgifter vara av känsligare karaktär. Enligt Datainspektionen så är extra känsliga data om "uppgifterna avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukvårdsfrånvaro, graviditet och läkarbesök”. Hanterar du uppgifter av denna karaktär, oavsett om det handlar om kunder, patienter eller anställda, så är det läge att se över hantering av dessa. Speciellt viktigt blir det om du har uppgifter om minderåriga.

Vad ska du som företagare börja med?

Om du har inte redan har börjat anpassa dig efter den nya dataskyddslagen så är det hög tid att sätta igång. Har verksamheten tidigare följt riktlinjerna för PUL så är du som sagt på god väg. Några punkter att se över:

  • Fundera på vilka typer av personuppgifter som ditt företag samlar in och vad SYFTET är med detta är. Det ska finnas en laglig grund för varje enskild behandling. Återanvänd inte uppgifterna i annat syfte.
  • Se över rutiner och säkerhet av system där personuppgifter sparas. Kan vara kundregister, bokningssystem, uppgifter på webbplatsen, system för anställda, etc. Spara inte onödiga uppgifter och spara inte uppgifter längre än nödvändigt.
  • Gör en avstämning kring vilka databaser som används och personuppgifter som hanteras i dagsläget. Börja fixa till det mest kritiska och jobba dig framåt därefter. Med "kritiska" menar vi känsligare uppgifter eller system som har låg säkerhet rent tekniskt.
  • Skapa en förteckning över hur personuppgifter hanteras. Detta gäller främst större företag eller företag som hanterar känslig data som skulle kunna medförs risk att skada individers frihet. I vissa fall kan man behöva ta fram en integritetspolicy på webbplatsen som förklarar hanteringen av personuppgifter.

  • Skapa avtal med leverantörer som hanterar personuppgifter som ni ha samlat in. Tredjeparter måste också följa GDPR och du som har samlat in uppgifterna står som första ansvarig.

  • Utbilda anställda inom företaget. Skapa en medvetenhet kring GDPR hos anställda så att de tänker en extra gång vad gäller integritet av personuppgifter och hantering av dessa. Både när det gäller uppgifter av anställda, leverantörer och kunder. Från ett säkerhetsperspektiv kan det handla om hantering av inloggningsuppgifter till olika system. Vem bör ha åtkomst till vilken typ av data? Viktigt att alla som jobbar administrativt i företaget har kolla på både säkerhet samt vad man får/inte får göra med personuppgifter.
Vi står inför en spännande framtid i hur GDPR kommer att påverka integritet på nätet och internationell handel i allmänhet – och vissa specifika företags framtid i synnerhet. Vill du läsa vidare om GDPR så har vi samlat en hel hög av resurser nedan.


Hos Datainspektionen finns mer ingående information om GDPR: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/

Behöver företaget göra en förteckning? Läs mer hos Datainspektionen här:

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigheter-for-de-som-behandlar-personuppgifter/register-over-behandling/

Testa Verksamt.se smidiga GDPR-guide för småföretagare: 

https://www.verksamt.se/driva/gdpr-dataskyddsregler/gdpr-guiden

Läs hela dataskyddsförordningen här: 

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten/

Läs om hur Facebook ser på GDPR: 

https://www.facebook.com/business/gdpr

City Networks GDPR-podden https://www.citynetwork.se/podcast/. Här kan du verkligen göra en djupdykning i hur lagen kommit till, intressanta diskussioner och tips.



Miranda_vitbakgrund.jpg
Miranda Strand

Kampanjspecialist

miranda@doublegroup.se