Vad innebär dataskyddsförordningen GDPR?
EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR, trädde i kraft den 25.e maj 2018 och innebär bland annat hårdare krav på hantering av personuppgifter än tidigare. För att följa detta tog Chalmers Studentkår fram nya rutiner och processer för säker hantering av register samt följde upp krav på ansvarig ledningsnivå. Nya dataskyddsförordningen gäller för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.
Medborgarnas starkare rättigheter
Syftet med den nya lagstiftningen är dels att få till en harmonisering mellan EU:s medlemsstater. Dataskyddsdirektivet från 1995 utgjorde visserligen en gemensam grund inom unionen, men som direktiv var det upp till varje land att implementera regelverket och tolka det. Nu är det samma lagtext oavsett vilket EU-land man befinner sig i.
Samtidigt har det legat mycket fokus på ett ökat integritetsskydd, vilket innebär att medborgarnas rättigheter har därmed stärkts. Kraven på att företag och andra organisationer informerar hur de hanterar uppgifter, vilka uppgifter och varför, de stärks. Det går också att under vissa omständigheter säga nej till att personuppgifterna används. Till exempel blir det lättare att slippa direktreklam.
I det ökade medborgarskyddet ingår också rätten att bli glömd. Alltså den chans en person har att begära att få uppgifter på sökmotorer bortplockad. För det krävs att sökresultatet är oriktigt, irrelevant, eller överflödigt.
Håll koll på vilken information ni har och varför
Störst förändring är det dock för de som hanterar uppgifterna. Till viss del är GDPR bara en uppdatering och skärpning av den tidigare personuppgiftslagen, PUL. Men några saker är viktiga att ha med sig.
Framför allt gäller det att ha koll på informationen. I förordningen finns något som kallas privacy by default vilket i korthet betyder att ni måste känna er data, och de system som hanterar informationen. Det är inte heller något som företaget kan lägga över på en it-leverantör. Inom er organisation behöver ni alltså ha hjort en riskbedömning och anpassat er hantering av persondata därefter.
Dataskyddsförordningen gör gällande att den personuppgiftsansvarige måste visa att förordningen följs. Det kommer betyder krav på ökad dokumentation. En personuppgiftsansvarig är en juridisk person, alltså inte en enskild person. Samma sak gäller som man har ett personuppgiftsbiträde. En nyhet som kom i införandet av GDPR är däremot införandet av ett dataskyddsombud. En person som har särskilt ansvar för att se till att reglerna efterföljs och som bevakar dataskyddsfrågor. Det gäller för de som hanterar särskilt känsliga uppgifter. Eller om det innebär en kartläggning av enskilda människors beteende.
Missbruksregeln försvann
I Sverige har vi tidigare haft en förenkling av personuppgiftslagen. Har man behandlat personuppgifter i löpande text och enklare listor har den hanteringen kunnat göras med stöd i missbruksregeln. Det har gjort det möjligt att hantera personuppgifter så länge det inte är kränkande för någon. Den regeln försvinner helt och hållet i och med den nya lagen.
Krav på rapportering vid dataintrång
Dataintrång har dessvärre blivit något som företag och myndigheter måste vänja sig vid. Det gäller att göra vad man kan för att skydda sin it-miljö. Men precis som i den fysiska världen ligger inte sällan tjuven ett steg före. Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta nu rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själva begått ett misstag. Även de vars uppgifter läckt ut måste informeras inom 72 timmar.