Vad är Dataskyddsförordningen (GDPR)?
GDPR är EU:s nya dataskyddsförordning. Förkortningen står för General Data Protection Regulation och den trädde i kraft den 25 maj 2018. Förordningen ställer hårdare krav på hur personuppgifter hanteras och organisationer förväntas ha rutiner och processer för att kunna hantera säker registrering av personuppgifter.
Vad innebär Dataskyddsförordningen (GDPR)?
GDPR innebär bland annat hårdare krav på hantering av personuppgifter. Krav ställs framförallt på processer och rutiner för att hantera register på ett säkert sätt samt på ledningsnivå. Förordningen har sin grund i sju stycken grundprinciper, dessa är:
- Endast om lagkraven uppfylls får man hantera personuppgifter.
- Det måste finnas ett angivet syfte med personuppgiftsinsamlingen.
- Endast de uppgifter som är nödvändiga för att uppfylla det angivna syftet får samlas in.
- De personuppgifter man har måste hållas korrekta och uppdaterade.
- Vid den tidpunkt då det angivna syftet är uppnått ska uppgifterna tas bort.
- De personuppgifter man har ska förvaras säkert så att de inte stjäls eller ändras.
- Man måste kunna bevisa att samtliga av dessa krav uppfylls.
Är lagen lika krånglig som den låter?
Lagen kan uppfattas som krånglig eftersom den är skriven på ett annat sätt än det vi är vana vid. Detta eftersom att den är skriven och anpassad för EU, vilket innebär att lagen är mer omfattande och inte bara anpassad för lilla Sverige. Det betyder alltså att lagen i sig inte är krångligare, men att det krävs några extra vändor för att förstå den.
Vilka måste följa GDPR?
Alla organisationer som i någon utsträckning hanterar personuppgifter om sina anställda eller kunder måste följa Dataskyddsförordningen (GDPR). I och med detta måste organisationer följa de grundläggande principerna, se till att behandlingen har en rättslig grund samt se till att informera de registrerade om hur deras personuppgifter hanteras.
Vem ansvarar för att se till att GDPR efterföljs?
I Sverige är det Integritetsskyddsmyndigheten (IMY) som ansvarar för att se till att GDPR efterlevs. Detta gjordes tidigare av Post- och telestyrelsen (PTS).
På IMY:s hemsida finns massor av bra information kring hur man som företag kan tolka, och bör agera för att efterleva, GDPR på bästa möjliga sätt.
Vad innebär lagen för användarna?
Lagen innebär att du som användare har rätt att begära ut dina personuppgifter av en myndighet eller ett företag, och att innehavaren av uppgifterna då är skyldig att återkomma med en lista på vilka uppgifter de lagrar om dig. En bra tumregel att komma ihåg är att GDPR säger att företaget/myndigheten får lagra personuppgifter, men det måste tydligt framgå och tydliggöras varför de lagras.
Rätt att få personuppgifter raderade
Du som användare har rätt att begära att bli glömd, det vill säga att dina personuppgifter raderas, av alla myndigheter och instanser, förutom fåtalet undantag. Ett exempel på ett sådant undantag är Skatteverket, i och med att lagring av personuppgifter krävs för att myndigheten ska kunna kontrollera att skatten betalas in korrekt.
Får inte lagra längre än nödvändigt
Ytterligare en funktion inom lagen, som skyddar dig som användare är att en myndighet eller företag inte får lagra dina personuppgifter längre än nödvändigt. Detta innebär att företaget eller myndigheten måste ha en så kallad laglig grund för att få lagra dina uppgifter.
Måste få ett aktivt godkännande
Vidare måste även företaget eller myndigheten ha fått ett aktivt godkännande från dig som användare för att få lagra uppgifterna, även om det finns en laglig grund att stå på. Detta gör att det inte längre är lagligt att spara uppgifter för att ”det är bra att bra”.
Ett aktivt godkännande innebär att du som användare måste signera ett avtal där du ger ditt samtycke till lagring av uppgifter. Detta sker oftast digitalt genom ett knapptryck, precis som väldigt många avtal tecknas idag.
Ett klick på ja lika starkt som signatur
Många tror att ett knapptryck som signering inte är lika bindande som en egenhändig signatur men det stämmer alltså inte, utan ditt klick på ”ja” betyder att du samtycker och därmed godkänner att dina uppgifter lagras hos företaget eller myndigheten.
Hur går jag som användare tillväga om en instans inte följer lagen?
Om du misstänker, eller rentav är säker på, att instansen inte följer lagen vänder du dig till Integritetsskyddsmyndigheten med en anmälan.
Vad händer om man inte följer lagen?
Instansen måste, inom en månad, ge dig som användare en lista på vilka personuppgifter de har lagrade om dig. Om inte instruktionerna följs riskerar instansen att få betala böter på upp till 20 miljoner euro till Integritetsskyddsmyndigheten. Sett till lilla Sverige och våra företag och myndigheter är summan skyhög, vilket skulle rasera många budgetar, men sett till EU överlag är det mer standardsummor det handlar om.
Vad behöver instanserna göra för att uppfylla kraven för GDPR?
Det finns några olika vägar att gå för att bli GDPR-godkänd. Antingen bygger instansen om sitt system så att det är tekniskt möjligt att radera personuppgifter i systemet, eller så bygger man ett helt nytt system som uppfyller GDPR-kraven.
Oavsett vilket val instansen gör så är en roadmap för anpassning till GDPR något som samtliga berörda instanser bör ha satt i rullning för att framtida systemuppdateringar ska vara GDPR-kompatibla. Ett tecken på att det faktiskt är många som bygger om sina system är att du som användare, har mottagit – och fortsätter motta – en handfull mejl angående uppdaterade policys och hantering av personuppgifter från diverse företag och myndigheter.
Ytterligare en sak som är bra för användare att vara medvetna om är att vissa myndigheter följer lagkrav om arkivering, vilket gör att andra lagar, till exempel, bokföringslagen står över GDPR.
Vi hjälper er uppfylla GDPR-kraven
Vi på Consid har mångårig erfarenhet av datasäkerhet och behandling av personuppgifter. Vi har, sedan långt innan GDPR:s intåg, jobbat tätt med världsledande organisationer för att säkerställa personlig integritet och datasäkerhet. Är ni osäkra på vad ni behöver göra? Hör av er via formuläret nedan.