Om GDPR

Vad innebär den nya dataskyddsförordningen GDPR?

EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR, som träder i kraft den 25.e maj 2018 innebär bland annat hårdare krav på hantering av personuppgifter. Det kommer att ställas krav på nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå. Nya dataskyddsförordningen kommer att gälla för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.

Medborgarna får starkare rättigheter
Syftet med den nya lagstiftningen är dels att få till en harmonisering mellan EU:s medlemsstater. Dataskyddsdirektivet från 1995 utgjorde visserligen en gemensam grund inom unionen, men som direktiv var det upp till varje land att implementera regelverket och tolka det. Nu är det samma lagtext oavsett vilket EU-land man befinner sig i.

Samtidigt har det legat mycket fokus på ett ökat integritetsskydd. Medborgarnas rättigheter kommer att stärkas. Kraven på att företag och andra organisationer ska informera hur de hanterar uppgifter, vilka uppgifter och varför, de stärks. Det ska också gå att under vissa omständigheter gå att säga nej till att personuppgifterna används. Till exempel blir det lättare att slippa direktreklam.

I det ökade medborgarskyddet ingår också rätten att bli glömd. Alltså den chans en person har att begära att få uppgifter på sökmotorer bortplockad. För det krävs att sökresultatet är oriktigt, irrelevant, eller överflödigt.

Håll koll på vilken information ni har och varför
Störst förändring blir det dock för de som hanterar uppgifterna. Det är däremot bra att ha bakhuvudet att många av de krav som dataskyddsförordningen medför redan finns i personuppgiftslagen (PUL). Till viss del är GDPR bara en uppdatering och skärpning av PUL. Men några saker är viktiga att ha med sig.

Framför allt gäller det att ha koll på informationen. I förordningen finns något som kallas privacy by default vilket i korthet betyder att ni måste känna er data, och de system som hanterar informationen. Det är inte heller något som företaget kan lägga över på en it-leverantör. Varje organisation måste själva ställa sig en rad frågor, och hitta svaren i god tid innan 25 maj 2018. Varför har ni behöver ni precis de här uppgifterna, hur samlas de in och vem har tillgång till dem. Ni bör göra en riskbedömning.

Dataskyddsförordningen gör gällande att den personuppgiftsansvarige måste visa att förordningen följs. Det kommer troligen betyda krav på ökad dokumentation. En personuppgiftsansvarig är en juridisk person, alltså inte en enskild person. Samma sak gäller som man har ett personuppgiftsbiträde. En nyhet är däremot införandet av ett dataskyddsombud. En person som har särskilt ansvar för att se till att reglerna efterföljs och som bevakar dataskyddsfrågor. Det gäller för de som hanterar särskilt känsliga uppgifter. Eller om det innebär en kartläggning av enskilda människors beteende.

Missbruksregeln ryker
I Sverige har vi tidigare haft en förenkling av personuppgiftslagen. Har man behandlat personuppgifter i löpande text och enklare listor har den hanteringen kunnat göras med stöd i missbruksregeln. Det har gjort det möjligt att hantera personuppgifter så länge det inte är kränkande för någon. Den regeln försvinner helt och hållet i och med den nya lagen.

Krav på rapportering vid dataintrång
Dataintrång har dessvärre blivit något som företag och myndigheter måste vänja sig vid. Det gäller att göra vad man kan för att skydda sin it-miljö. Men precis som i den fysiska världen ligger inte sällan tjuven ett steg före. Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta nu rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själva begått ett misstag. Även de vars uppgifter läckt ut måste informeras inom 72 timmar.