Nu stärks skyddet för fysiska personer vid behandling av personuppgifter. GDPR är en förkortning av General Data Protection Regulation, det svenska namnet är dataskyddsförordningen. Alla organisationer som behandlar personuppgifter ska tillämpa GDPR från 25 maj 2018, som ersätter personuppgiftslagen (PUL). Den nya lagen innebär skärpta krav på företag och andra organisationer att informera bland annat varför och hur de samlar in och hanterar personuppgifter.
Om din hemsida använder cookies så måste dom vara blockerade tills besökaren godkänner dom förutsatt att dom samlar in personuppgifter. Besökaren ska även ha möjlighet att godkänna endast vissa cookies!
Snabbguide:
– Ni får inte samla in fler personuppgifter än nödvändigt.
– Ni får bara samla in data för i förväg bestämda ändamål.
– Data får inte sparas längre än nödvändigt.
– Data får inte sparas på fler platser än nödvändigt.
– Data får inte lagras utanför EU länder eller länder med motsvarande personskydd i lagstiftningen (tex https://www.privacyshield.gov).
– Användare har rätt att veta vad för data ni har sparat om dem.
– Användare har rätt att bli bortglömda.
– Dataläckor måste rapporteras till datainspektionen.
– Det måste finnas dokumentation för hur ni hanterar personuppgifter.
– Alla leverantörer som hanterar personuppgifter för er måste följa GDPR, och ni måste ha ett personuppgiftsbiträdesavtal med varje leverantör.
– Ni måste utse en personuppgiftsansvarig.
Är du nyfiken på att läsa mer om GDPR kan du göra det på Datainspektionens webbplats.
1. Grundläggande principer
De grundläggande principerna handlar om att ha ett tydligt ändamål och laglig grund för varje enskild behandling. Det betyder att inte senare behandla eller lagra personuppgifter i strid med ändamålet, och att vara öppen i förhållande till den registrerade.
2. Inbyggt dataskydd
Det handlar om att man har vidtagit alla åtgärder tekniskt och organisatoriskt, samt att man klarar att på personuppgiftsnivå följa alla principer som finns i förordningen.
3. 25 maj behöver allt vara klart
Förordningen ska tillämpas fullt ut från 25 maj, vilket också gäller sanktionerna. Med en komplex lagstiftning och diverse detaljkrav har många insett att det kan vara svårt att hinna genomföra allt. I sådana fall är det bra att försöka prioritera och dokumentera sina val och vad man gjort. En bra sak med dataskyddsförordningen är att det finns något som heter inbyggt dataskydd, vilket handlar om att man hela tiden ska arbeta för att bli bättre. Det är bra att sikta på 100 %, men när det gäller införandet är det bättre att fastställa sitt nuläge och se var de största integritetsriskerna finns och hantera dem.
4. Hur du bäst prioriterar
Tänk noga över vilka konsekvenserna kan bli för de registrerade. Finns det några stora risker? Du måste också veta hur man anmäler en personuppgiftsincident och kunna avgöra om det är nödvändigt med ett dataskyddsombud. Viktigt är också att ta fram korrekta personuppgiftsbiträdesavtal, samt att i en integritetspolicy förklara hanteringen av personuppgifter. Följs dessa har man en grund att stå på ifall det skulle bli aktuellt att diskutera en sanktion med Datainspektionen. Det är inte att rekommendera att inte göra någonting och hoppas på det bästa.
5. Hur du kommer igång
Börja med att göra en avstämning av nuläget och ta de viktigaste områdena först. Det är upp till varje företag att själva komma fram till hur det ska läggas upp. Hur kan ni jobba med det inbyggda dataskyddet? Är behörighetsstyrning något ni kan jobba mer med? Kan ni se över era rutiner?
6. Hur ni får med alla på tåget
Det är viktigt att medarbetarna förstår varför de ska vara med. De behöver bli involverade och det går inte att bara utlysa den nya rutinen. Var medveten om att de högsta sanktionsnivåerna bland annat gäller rättigheter, där det ingår att informera och lämna registerutdrag.
7. Så bestäms sanktionens storlek
Överträdelsens natur och hur många den drabbar är faktorer som bestämmer sanktionens storlek. Om det har funnits ett uppsåt eller oaktsamhet påverkar också storleken. En positiv faktor är att ha försökt förebygga incidenter och att man tar upp arbetet efter en inträffad incident. En negativ faktor är om man inte velat ta kostnader i arbetet.
8. Det positiva med GDPR
Det finns människor som inte uppskattar hur deras personuppgifter används. Profilering är inte för alla, när till exempel företag följer hur de klickar sig runt på nätet och sedan kommer med ett erbjudande. Med GDPR har organisationer möjligheten att börja jobba med sina beteenden, vilket troligtvis kommer att uppskattas av många kunder.
9. Undantag från förordningen
Ja, det finns vissa undantag. Till exempel när man skriver något där man nyttjar sin yttrandefrihet, till exempel med syftet att väcka debatt. Yttrandefriheten står i det fallet över dataskyddsförordningen. Detta gäller framför allt hemsidor, där företaget till exempel vill diskutera en fråga i bloggen.
10. Går inte längre att använda sig av missbruksregeln
Missbruksregeln är ett svenskt undantag som innebär att man inte behöver följa PUL när det handlar om så kallad ostrukturerad text, det räcker att garantera att man inte missbrukar personuppgifterna. Nu upphör denna missbruksregel att existera. Istället omfattar dataskyddsförordningen allt i excellistor, powerpointpresentationer, worddokument, texter på hemsidor och mail. Man måste alltså kunna hantera den registrerades rättigheter även i ostrukturerat material. Till exempel måste man informera människor om när deras personuppgifter används i ostrukturerat material.
