Vad innebär GDPR?

Skrevs av  Oscar Meivert  den  06 februari 2018

GDPR - förkortningen som numera ligger på allas läppar. Vad innebär egentligen GDPR? Här bryter vi ner och summerar det nya begreppet.

Den 25 maj 2018 träder den i kraft, den nya lagen om personuppgifter, General Data Protection Regulation, eller GDPR. På svenska översätter vi denna förkortning till dataskyddsförordningen, men, vad innebär egentligen detta? Vad är syftet med denna nya lag som nu alla måste följa?

Läs även våran uppdaterade integritetspolicy här.

Syftet med GDPR
Till att börja med kan vi summera syftet med GDPR - lagen skall värna om privatpersoners uppgifter på internet, kort, man vill värna om våra privatliv och rättigheter online. Vi alla har rätten att låsa vår ytterdörr för tjuvar eller andra människor som vi inte vill släppa in, på samma sätt har vi rätt till ett privatliv på internet. Bara vi som individer ska ha kontrollen och kunna bestämma vem vi vill släppa in. 

Bakgrunden till förordningen, är att ny teknik har urholkat denna mänskliga rättighet. Du kanske själv har märkt det, det är numera svårt att förbli anonym på internet, där information kontinuerligt samlas in av företag som sedan använder dem för egna vinstdrivande syften. På sociala medier har vi själva sagt ”ja” till att dela uppgifter, men frågan är hur många som verkligen förstår vad det innebär, gör du det? Lagen kring GDPR stiftades i Bryssel och är gemensam för alla länder inom EU/EES, detta innebär att alla de eventuella skillnader som finns mellan de olika länderna idag kommer att försvinna nästan helt.

Såhär skriver FN:
"Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp." – Artikel 12, FN:s allmänna förklaring om de mänskliga rättigheterna

GDPR kanske ser komplicerad och jobbig ut vid första blick, men det för ju också faktiskt med sig en del bra saker, (1) alla länder i Europa kommer nu att behöva spela efter samma regler, och (2) vi blir bättre skyddade och får en ökad kontroll över våra uppgifter på internet. Idag är så kallad BIG-data, aggregerad data om oss som individer, en attraktiv handelsvara som inte lagstiftarna förutsåg på 90-talet. Den nya lagen GDPR tar nu hänsyn till den snabba teknikutveckling som skett sedan den nuvarande Personuppgiftslagen (PuL) trädde i kraft under sent 90-tal. 

GDPR - de viktigaste punkterna
Om man skulle bryta ner GDPR i enkel punktform, så skulle de sju viktigaste delarna i den nya lagen kunna radas upp enligt följande:

  • Man får bara behandla personuppgifter om man uppfyller kraven i lagen
  • Man får bara samla in personuppgifter för ett angivet syfte
  • Man får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet
  • Har man personuppgifter måste man hålla dem korrekta och uppdaterade
  • När syftet är uppnått ska uppgifterna tas bort
  • Personuppgifter måste förvaras säkert så de inte ändras eller på något sätt exponeras
  • Man ska kunna bevisa att man uppfyller alla dessa krav

Skulle man nu gå igenom ovanstående punkter lite mer detaljerat och noggrant inser man snart att de egentligen inte skiljer sig så mycket ifrån dagens lag, PuL. Men kort förklarat så har PuL varit mer av en riktlinje, GDPR är alltså en lag, det är viktigt att förstå den skillnaden! Även om det är mycket som alltså är likt PuL, finns det en hel del nya saker som också är viktiga att känna till. Ytterligare punkter:

  • Lagen gäller inte bara ”dataregister” utan också t.ex e-post och papper. Sverige har tidigare haft ett undantag från detta men det upphör nu
  • Kraven på information i samband med att man samlar in personuppgifter blir mer detaljerade
  • Dokumentation över data och hur man behandlar dem blir ett krav för att följa lagen. Vad har vi för data? Var förvaras datan? Har vi delat data till exempelvis en underleverantör? Raderar vi kopior och gammalt data? Tar vi backups och säkerhetskopior?
  • Rätten att ”bli glömd”. Den registrerade kan begära att få sina uppgifter borttagna. Det finns dock vissa andra lagar som begränsar detta, t.ex. bokföringslagen.
  • Om man bryter mot lagen kan ”böterna” bli våldsamt höga. Max 20 miljoner Euro eller 4% av företagets/koncernens globala årsomsättning.

Berörs ditt företag utav GDPR, vad kan du göra?
Steg ett bör alltid vara att börja med en kartläggning av din verksamhet för att se om du berörs utav GDPR. Sparar du någon typ utav data kring dina kunder digitalt, då är chansen stor att även din verksamhet berörs. Tiden går fort och den 25 maj kommer allt närmre, så vår rekommendation på Toxic är att du inte väntar för länge med kartläggningen, starta igång redan idag.

Behöver du hjälp med GDPR? Kontakta mig på oscar.m@toxic.se, så ska jag försöka hjälpa dig vidare!
 

Notera: Ovanstående text innehåller inte juridiska råd, den skall endast tolkas som en sammanfattning och överblick av den nya lagen. Syftet med detta blogginlägg är att ge en enkel introduktion till GDPR eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.

blog comments powered by Disqus
Oscar Meivert
Oscar Meivert Byrå- & Marknadsansvarig 072-402 32 53 oscar.m@toxic.se

Lämna dina uppgifter nedan så kontaktar jag dig!