Vad är GDPR?
En ny EU-förordning som påverkade alla branscher, företag och organisationer där personuppgifter hanteras trädde i kraft den 25 maj 2018. Det har varit svårt att missa den här förändringen, men trots uppmärksamheten kring den är det många som fortfarande undrar “vad innebär egentligen GDPR?” I det här blogginlägget reder vi ut några av de vanligaste frågorna gällande GDPR.
Vad betyder GDPR?
Först och främst, vad står GDPR för? Det står för General Data Protection Regulation (GDPR), eller dataskyddsförordningen på svenska. Den nya GDPR lagen betyder att de som hanterar personuppgifter har hårdare riktlinjer som de måste följa. Lagen är till för att kunna uppdatera tidigare lagar som inte hunnit anpassas efter den snabba digitala utvecklingen i samhället.
Vad innebär GDPR?
GDPR innebär att det är hårdare krav för hur företag och organisationer ska hantera personuppgifter. Förordningen gäller för alla länder i EU/EES vilket gör att de skillnader för hantering av personuppgifter som funnits mellan länderna nu är nästintill borta.
Dataskyddsförordningen grundar sig i de rättigheter vi har som människor. GDPR finns för att vi som privatpersoner ska vara mer skyddade i vår vardag och på internet. Vi har alla rätten till integritet och att våra personuppgifter skyddas och hanteras på rätt sätt. All ny teknik har lett till att denna mänskliga rättighet har underminerats. Det är svårt att vara anonym på nätet ochånga företag samlar in personlig information som de använder för egna syften. Innan GDPR fanns endast Personuppgiftslagen (PuL) som trädde i kraft 1998 i Sverige och den har inte varit anpassad efter den snabba teknikutvecklingen.
De 7 grundläggande principerna
Behandlar man personuppgifter måste man följa de grundläggande principer som anges i GDPR lagen. De grundläggande principerna är kärnan i dataskyddsförordningen och de gäller för all personuppgiftshantering.
- Man får endast hantera personuppgifter om man uppfyller lagkraven.
- Man får endast samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål.
- Man får endast behandla de personuppgifter som behövs för ändamålen.
- Man måste se till att personuppgifterna är riktiga och korrekta.
- Man måste radera uppgifterna så fort de inte längre behövs.
- Man måste skydda personuppgifterna så att inte obehöriga får tillgång till dem.
- Man måste kunna bevisa att man uppfyller alla dessa krav.
De här principerna skiljer sig egentligen inte så mycket från Personuppgiftslagen som ersattes 25 maj 2018. Men det finns en hel del nya detaljer som är gör att de ändå är en viss skillnad.
Här är några av de detaljerna som kan vara bra att känna till:
- Det måste tydligt kommuniceras ut till de registrerade hur deras personuppgifter blir behandlade, varför de samlas in och vad de kommer att användas till. Det ska också framgå vad de har för rättigheter, som till exempel rättigheten till att få sina personuppgifter raderade.
- GDPR lagen gäller inte bara information som finns på internet, utan också papper och e-post.
- Man måste föra dokumentation över den data man har och hur man behandlar den.
- Bryter man mot lagen kan man få höga straffavgifter, upp till 20 miljoner Euro eller 4% av den globala årsomsättningen företaget har. Storleken på beloppet kan variera beroende på hur pass allvarlig överträdelsen av reglerna är, om det har skett någon skada och hur stor skadan blivit, om det är känsliga personuppgifter och om det var avsiktligt.
Några fördelar med GDPR
- Du som privatperson får större kontroll över vem som hanterar dina personuppgifter.
- Du får rätten att veta vad dina personuppgifter används till.
- Du har rätt till att få dina uppgifter raderade.
- Genom att kartlägga de personuppgifter som hanteras på företaget får man bättre koll på vilka uppgifter som är nödvändiga och vilka uppgifter som man faktiskt inte behöver. Detta kan i sin tur leda till ett effektiviserat arbete.
- Ökat förtroende hos kunder då GDPR bidrar till ökad transparens.
Sammanfattning av GDPR
GDPR fastställer reglerna för hur personuppgifter ska samlas in samt hur de får användas och skyddas av organisationer inom EU. Det gäller även för företag utanför EU men som är verksamma inom EU. Den nya förordningen är utformad för att ge varje enskild individ mer koll över vilka personuppgifter som samlas in och hur de används av företag. Även om det finns vissa utmaningar som kräver mycket arbete för verksamheter när de följer GDPR, så finns det stora fördelar för både privatpersoner och företag.