5 snabba om GDPR

Den nya lagstiftningen kring lagring och hantering av personuppgifter som EU beslutat om träder i kraft 25 maj 2018. General Data Protection Regulation (GDPR), eller dataskyddsförordningen på svenska, är en väsentlig stärkning av konsumentens rätt till sina personuppgifter och ställer stora krav på företag och andra organisationer som lagrar data på olika sätt.

5 korta frågor om GDPR

 

1. I korta drag, vad handlar GDPR om?

Idag finns olika former av reglering kring hur personuppgifter får hanteras av företag och hur man får använda dessa för till exempel marknadsföring. I Sverige regleras detta i huvudsak av personuppgiftslagen (PUL). GDPR syftar till att stärka individens rätt till sin data samt att harmonisera lagstiftningen inom EU, som idag i princip har 27 olika varianter av dataskydd.

Den genomgående principen i lagstiftningen är att individer äger rätten till information om sig själva och att företag som vill samla och använda sig av den informationen behöver anpassa sig till det. Idag kan det vara svårt för en enskild person att förstå vilka register man ligger med i och hur ens personuppgifter hanteras.

 

2. Vilka områden kommer GDPR påverka mest?

Den kanske största förändringen lagstiftningen kommer innebära är hur lagring av personuppgifter och marknadsföring med hjälp av den informationen får ske. Företag som vill spara personuppgifter måste erhålla aktiva godkännanden från varje individ. Godkännandet måste kunna styrkas av företaget som samlar uppgiften och aktivt medgivande för exempelvis marknadsföring måste erhållas.

 

3. Vad är en personuppgift inom ramen för GDPR?

Personuppgifter innefattar all information om en individ eller information som kan härledas till en individ. Till exempel kan ett företag spara information om adresser, så länge en koppling till individer på den adressen inte görs.

Exempel på personuppgifter är: Personnummer, Namn, adress, telefonnummer, e-postadress, IP-nummer mm. GDPR tar också upp särskilt känsliga personuppgifter som hälsodata, religionsuppfattning, etnicitet, sexuell läggning mm där ännu tuffare krav på medgivande och lagring finns.

 

4. Vilka förändringar kommer GDPR innebära för mig som privatperson?

Tanken är att du som privatperson skall få bättre koll på var dina personuppgifter sparas och hur företag kommer använda dem. Troligtvis kommer det leda till större transparens och insyn i vilka register du som individ finns med i. Du kommer också få möjlighet att begära ut din data från de företag som sparat den samt avkräva att den raderas.

 

5. Vilka olika roller kan företag ha inom ramen för GDPR?

Alla företag som verkar säljer och/eller kommunicerar med EU medborgare, alltså även företag utanför EU, påverkas av lagstiftningen. 

GDPR hanterar i huvudsak 3 olika aktörer. Utöver själva individen, personuppgiftsägaren (data subject), så delas företag in i 2 kategorier: 

  • Personuppgiftsansvarig (data controllers) – Alla företag som samlar in data om individer. Detta omfattar i princip alla företag med någon form av register.
  • Personuppgiftsbiträde (data processors) – Alla företag som tillhandahåller lagring och hantering av data åt den personuppgiftsansvarige. Detta omfattar exempelvis molntjänster, mjukvara för registerhantering mm.

 

Vad behöver företag göra för att förbereda sig?

Företag som omfattas av lagstiftningen som Personuppgiftsansvarig, vilket är de flesta företag (och andra organisationer), behöver se över sina befintliga register (och andra lagringsytor där personuppgifter sparas) och säkerställa att dessa individer godkänner ett fortsatt sparande av den datan. 

Redan nu kan man förbereda sig genom att på olika sätt fråga personer i sina register om godkännanden. Man behöver också säkerställa att ens leverantörer av produkter och tjänster som hanterar data (personuppgiftsbiträden) har funktionalitet och rutiner på plats som skapar rätt förutsättningar att följa förordningen.

 

Är du redo för GDPR 25/5 2018?