GDPR - General Data Protection Regulation

General Data Protection Regulation (GDPR), eller Dataskyddsförordningen på svenska är en ny europeisk lag för hantering av personuppgifter och ökat integritetsskydd som träder i kraft den 25:e maj 2018.

Den är framtagen för att ge alla privatpersoner starkare rättigheter beträffande deras personuppgifter (bankuppgifter, adresser, IP-adresser, gps, sjukhusinformation och så vidare) och mindre rättigheter och makt åt organisationer som samlar in och använder data för ekonomisk vinst.

 

 

Vilka företag gäller den nya lagen för?

Lagen gäller alla företag och organisationer som är etablerade inom EU som på något vis hanterar personuppgifter för privatpersoner. Alla företag i Sverige berörs eftersom de på ett eller annat sätt hanterar personuppgifter.

 

Vad är “personuppgifter”?

Personuppgifter är all typ av information som kan länkas till en individ. Det spelar ingen roll om individen är en kund, prospekt eller anställd, så länge en person är inblandad så måste du följa de nya föreskrifterna.

Att avgöra vad som är en personuppgift är inte alltid så enkelt. Uppgifter som namn, och telefonnummer är självklara men även jobbtitlar och bilder kan vara personuppgifter. Om en blandning av flera uppgifter kan göra det möjligt att identifiera en person räknas de som personuppgifter. Till exempel:

  • Ett namn
  • Ett personnummer
  • En postadress
  • En e-postadress
  • En jobbtitel
  • Information om var personen befinner sig
  • Brödtext med personlig information
  • En dators IP-adress
  • Även ålder kan vara en personuppgift om det går att länka ihop den med annan infromation som då tillsammans gör en person identifierbar
 

Vad händer om man inte följer lagen?

Företag som inte följer lagen riskerar sanktioner. Om du inte följer Dataskyddsförordningen, så ligger böterna på upp till 4% av den årliga globala avkastningen eller 20 miljoner Euros, beroende på vilket belopp som är högst.

 

Mer rättigheter för privatpersoner

Som privatperson finns det mycket i Dataskyddsförordningen som ska ge dig mer kontroll över hur dina uppgifter insamlas och används. Det är viktigt att du själv som privatperson känner till vilka krav du kan ställa mot andra företag som använder din data och även vad andra kan kräva av ditt företag efter den 25:e maj.

Rätten att bli informerad före uppgifter samlas in. Konsumenter måste gå med på att deras data lagras och medgivandet måste ges frivilligt istället för att det ges underförstått.

Rätten att begära tillgång till personuppgifter och fråga hur uppgifterna används. Ditt företag måste då lämna ut en kopia av individens personuppgifter, utan kostnad för den som begär ut informationen.

Rätten att få information korrigerad. 

Rätten att bli glömd. Om en person inte längre är en kund eller om de tar tillbaka sitt medgivande till att ditt företag får använda dennes personuppgifter, så har de rätten att få hens personuppgifter raderade.

Rätten att kräva att personuppgifter inte används.

Rätten att överlåta personuppgifter från en leverantör till en annan. 

Rätten att säga nej till att personuppgifter används för t ex direktreklam. Det finns inga undantag till den här regeln, och all användning måste upphöra så fort den här begäran mottags. Som organisation måste du förtydliga och understryka detta i inledningen på all kommunikation.

Rätten att bli informerad om det har skett ett dataintrång som kan äventyra en individs personuppgifter. Individen har rätt att bli informerad inom 72 timmar efter dataintrånget.

 

Förberedelser

Börja med förberedelserna redan nu så att du är förberedd i maj när kunder börjar ställa frågor på hur ni efterlever den nya lagstiftningen!

Se till att alla i ditt företag som arbetar med uppgifter och data kring privatpersoner är helt insatta i Dataskyddsförordningen och vad den innebär för din organisation.

Kartlägg alla personuppgifter. En viktig sak med Dataskyddsförordningen är “ privacy by design” , vilket innebär att du måste alltid veta hur den data du samlar in och sparar ska användas. Alla uppgifter måste vara nödvändiga för verksamheten, det är inte längre tillåtet att samla in mängder av slumpmässig data som ni "kanske har nytta av i framtiden".

  1. Vad för typ av personuppgifter hanterar du?
  2. Hur hanterar du den och varför?
  3. Vem har tillgång till den?
  4. Finns det några hot mot integriteten och vilka skador kan de medföra?

Alla privatpersoner måste godkänna att deras personuppgifter samlas in, lagras och hur de används. Ett medgivande ska ges före insamling där individen själv ska varje typ av uppgift. Man får alltså inte längre använda långa avtal med förkryssade rutor där allt godkänns automatiskt.

  • Hur kan individer ge sitt godkännande på ett lagligt sätt?
  • Vilket är förfarandet om en individ vill att deras data ska raderas?
  • Hur ska du säkerställa att det görs över alla plattformar och att det verkligen raderas?
  • Om en individ vill att deras data ska överföras, hur gör du det?
  • Hur ska du få bekräftat att personen som begärde att deras data skulle överföras, raderas eller korrigeras, verkligen är den personen hen påstår sig vara?
  • Hur ser kommunikationsplanen ut om det skulle uppstå ett dataintrång?

Vidta säkerhetsåtgärder för att skydda mot dataintrång.

 

Läs mer om Dataskyddsförordningen på  www.eugdpr.org och hos Datainspektionen. Vill du veta mer om hur vi kommer hantera GDPR och hur du som kund eller leverantör påverkas kan du kontakta oss.