Vad är grejen med GDPR?

Vad är grejen med GDPR?

 

GDPR (General Data Protection Regulation) är en ny dataskyddsförordning från EU som träder i kraft den 25 maj 2018. Den ersätter dagens personuppgiftslag (PUL).

Målsättningen är att på ett effektivt sätt modernisera dataskyddsreglerna i de 28 EU-medlemsländerna. De nya bestämmelserna innebär bland annat hårdare krav på hanteringen av personuppgifter. Det kommer att ställas krav på nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå. De nationella tillsynsmyndigheterna får även stora möjligheter att döma ut höga böter till företag och organisationer som bryter mot lagkravet, i värsta fall viten upp till 4 procent av moderbolagets globala omsättning. 


För vem gäller GDPR?

GDPR gäller för alla företag, myndigheter, föreningar och andra organisationer som samlar in, lagrar och använder personuppgifter. Har ett företag med andra ord personuppgifter om sina anställda och kunder så omfattas företaget av bestämmelserna i GDPR.  


Vad är en personuppgift?

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn och adress, inkomst, hälsoinformation, online-ID, kulturell profil, m.m. Även foton på personer klassas som personuppgifter. Ja, till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i inspelningen. Ett bolagsnummer är ofta inte en personuppgift men är det om det handlar om en enskild näringsverksamhet. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kanske inte är en personuppgift. 


Vad ska företaget göra?

Dokumentera hur anställdas och kunders personuppgifter hanteras. Det innefattar vilken typ av information ni har tillgång till, vilka personer som har tillgång till den samt i vilka system och databaser den faktiskt finns.

Upprätta en riskanalys. Undersök var ni hanterar personuppgifterna idag och vilka integritetsrisker som finns. Kanske behöver ni skapa nya arbetssätt eller så räcker det med en justering. Se över avtalen med leverantörer som sköter till exempel IT-drift, molntjänster där uppgifter lagras och e-posthanteringen. Finns det sekretessavtal osv. Kartlägg ert IT-system. Hur överförs personuppgifter till andra system, parter och länder utanför EU-området.

Alla sorters personuppgifter får inte sparas hur som helst och av vem som helst. Det ska finnas en rättslig grund för rätten att spara och behandla personuppgifter alternativt ett samtycke från berörd person. Av er dokumentation ska framgå med vilken rätt ni har personuppgifter sparade. Personuppgifter får heller inte sparas hur länge som helst. Kolla upp vad som gäller för er verksamhet och dokumentera detta.

Särskilda regler gäller för bolag som har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. Skulle analysen visa att risken är hög, måste bolaget kontakta Datainspektionen som då ska göra en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.


Datainspektionen har rätt att göra kontroller av verksamheters efterlevnad av GDPR. Då är det viktigt med dokumentation som visar vilka åtgärder ni vidtagit och hur ni uppfyller kraven.

 

De viktigaste rättigheterna för de med personuppgifter registrerade enligt GDPR är att :

 „ få tillgång till sina personuppgifter

 „ få felaktiga personuppgifter rättade

 „ få sina personuppgifter raderade

 „ invända mot att personuppgifterna används för direktmarknadsföring

 „ invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering

 „ flytta personuppgifterna (dataportabilitet)

 

Anmälningsplikt

Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, om incidenten är allvarlig, inom 72 timmar. Det kan den vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

 

Detta är ingen fullständig genomgång. GDPR innehåller bra mycket mer än vad som presenterats här. Kontrollera vad som gäller för just er verksamhet! Datainspektionens hemsida innehåller väldigt mycket matnyttig information, gå in där och läs på! 

Behöver ni hjälp med översyn av era avtal – välkommen att kontakta mig!