Vad är GDPR? En sammanfattning

Lagar & regler > Vad är GDPR?

När man pratar om lagar och förordningar, och särskilt om framtida sådana, är det viktigt att hålla tungan rätt i mun. Så för säkerhets skull, först en liten friskrivning.

Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.

Vadan denna uppståndelse?

Den 25 maj 2018 hände det. Den nya lagen om personuppgifter, General Data Protection Regulation (GDPR), eller Dataskyddsförordningen på svenska, trädde i kraft. Förordningen är gemensam för EU/EES, så de skillnader som tidigare fanns mellan länderna har nästan helt försvunnit. Detta innebär att samma spelregler nu gäller på den inre marknaden – en fördel för företagen i Europa. En annan fördel är att vi som individer nu är bättre skyddade än tidigare. Idag är uppgifter om oss och våra intressen en handelsvara på ett sätt som inte lagstiftarna förutsåg på 90-talet. GDPR tar hänsyn till den snabba teknikutvecklingen sedan den nuvarande Personuppgiftslagen (PuL) trädde i kraft 1998. 

Syftet: Värna om vårt privatliv

"Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp." – Artikel 12, FN:s allmänna förklaring om de mänskliga rättigheterna

Vår rätt till integritet är en mänsklig rättighet. På samma sätt som vi har rätt att låsa vår ytterdörr för tjuvar, har vi rätt till ett privatliv på nätet. Bara vi själva ska bestämma vem vi vill släppa in.
Bakgrunden till förordningen, är att ny teknik har urholkat denna mänskliga rättighet. Du kanske själv har märkt det; det är svårt att förbli anonym på internet. Fakta samlas kontinuerligt in av företag som sedan använder dem för egna syften. Och på sociala medier har vi själva sagt ”ja” till att dela uppgifter, men frågan är hur många som verkligen förstår vad det innebär.

 Det danska konsumentrådets film visar hur det skulle vara om din lokala butik gjorde i verkligheten så som alla gör på nätet.

Den tekniska miljö vi har idag fanns inte när PuL trädde i kraft 1998 och det är därför lagstiftaren nu anpassar lagen till vår nya verklighet – genom att förbättra det lagliga skydd vi har rätt till.

Grundstommen – de 7 grundprinciperna

• Man får bara behandla personuppgifter om man uppfyller kraven i lagen.
• Man får bara samla in personuppgifter för ett angivet syfte.
• Man får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.
• Har man personuppgifter måste man hålla dem korrekta och uppdaterade.
• När syftet är uppnått ska uppgifterna tas bort.
• Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.
• Man ska kunna bevisa att man uppfyller alla dessa krav.

Om man går igenom ovanstående punkter lite mer noggrant, så inser man att det egentligen inte är så mycket nytt i detta. Dagens personuppgiftslag bygger ju på samma grund. Men det finns en hel del nya saker som är viktiga att känna till.

Ett axplock nya punkter
Några saker som särskiljer den nya förordningen från den gamla:

• Lagen gäller inte bara ”dataregister” utan också t ex e-post och papper. Sverige har tidigare haft ett undantag från detta men det upphör nu.
• Kraven på information i samband med att man samlar in personuppgifter blir mer detaljerade.
• Dokumentation över data och hur man behandlar dem blir ett krav för att följa lagen. Vad har vi för data? Var har vi datan? Har vi delat dem med t ex en underleverantör? Raderar vi kopior och gammalt data. Säkerhetskopior?
• Rätten att ”bli glömd”. Den registrerade kan begära att få sina uppgifter borttagna. Det finns dock vissa andra lagar som begränsar detta, t ex bokföringslagen.
• Om man bryter mot lagen kan ”böterna” bli våldsamt höga. Max 20 miljoner Euro eller 4% av företagets/koncernens globala årsomsättning.
  
  

Vilket är ditt nästa steg?
Kartlägg verksamheten för att se om du berörs av GDPR. Eftersom förordningen påverkar i mängder av företag i en eller annan utsträckning, är vår rekommendation är att man inte väntar för länge med kartläggningen.

 Läs mer om Dataskyddsförordningen