Hur påverkar nya dataskyddsförordningen (GDPR) företag och organisationer?

  
Den 25 maj 2018 börjar EU:s nya dataskyddsförordning, även benämnd GDPR, att börja gälla i Sverige och den kommer då att ersätta vår nuvarande lagstiftning om personuppgifter (PUL). Det här kommer att beröra alla företag som hanterar personuppgifter, såväl stora som små, men även myndigheter, föreningar, idrottsorganisationer mm. Ja, i viss mån även privatpersoner om de t.ex har en offentlig blogg. I denna artikel ska vi dock främst koncentrera oss på hur den nya dataskyddsförordningen (GDPR) kommer att påverka företag och organisationer.
 
Logotype - GDPRVad är syftet med den nya dataskyddsförordningen?
Syftet med den nya dataskyddsförordningen (GDPR) är att förbättra säkerheten kring hanteringen av personuppgifter och förändra hur företag och organisationer förhåller sig till dataskyddsfrågor och integritetsfrågor. EU:s nya dataskyddsförordning innebär också skärpta krav på företag och organisationer om att ge information om varför och hur de samlar in och hanterar personuppgifter. EU vill också med denna allmänna förordning harmonisera lagstiftningen inom hela EU, så att samma lagar och regler gäller i alla EU-länder.
 
Vad innebär den nya dataskyddsförordningen rent praktiskt?
Om ert företag eller organisation hanterar personuppgifter så är sannolikheten väldigt stor att ni måste se över ert sätt att hantera sådana uppgifter. Mycket i dataskyddsförordningen (GDPR) är dock likt innehållet i den nuvarande personuppgiftslagen (PUL) men det finns mycket som är nytt också. Datainspektionen tar upp de viktigaste nyheterna på denna sida på deras webbsajt.
 
Rent praktiskt så innebär den nya dataskyddsförordningen att företag och organisationer måste vara medvetna om och ta hänsyn till bland annat följande:
 
Man får inte samla in fler personuppgifter än vad som är nödvändigt.
Man får bara samla in data för i förväg bestämda ändamål.
Man får inte spara data i längre tid än nödvändigt.
Det måste alltid finnas en rättslig grund för datahanteringen, t.ex samtycke eller avtal.
Personuppgifter måste hållas korrekta och uppdaterade.
Personuppgifter får inte sparas utanför EU eller utanför länder med motsvarande lagstiftning.
Registrerade personer har rätt att veta vilken data som har sparats om dem.
Registrerade personer har, under vissa omständigheter, rätt att få ut data om dem själva i ett portabelt format.
Registrerade personer har, under vissa omständigheter, rätt att bli raderade och bortglömda.
Personuppgifter i e-post (inklusive personliga e-postadresser) räknas också in.
Det måste finnas skriftlig dokumentation över hur personuppgifter hanteras.
Eventuella leverantörer måste också följa GDPR om de hanterar personuppgifter.
Säkerhetsincidenter, t.ex dataintrång, måste anmälas till Datainspektionen.
Datainspektionen kan utdöma en sanktionsavgift för den som bryter mot reglerna.
 
De personuppgifter man samlar in måste ha ett förutbestämt syfte
När man samlar in personuppgifter så måste syftet med den data man samlar in vara fastslaget och tydligt specificerat från början. Man får inte ändra detta i efterhand. De personuppgifter man samlar in måste dessutom vara relevanta för ändamålet. Det är inte tillåtet att samla in uppgifter om personer för att "det kan vara bra att ha i framtiden". Detta är inte förenligt med lagstiftningen. Man får heller inte spara personuppgifter i längre tid än vad som är nödvändigt för att uppfylla syftet. När personuppgifterna inte längre behövs ska de raderas.
 
Rättslig grund
När man samlar in och registrerar personuppgifter så måste det alltid finnas en rättslig grund för datahanteringen. Som rättslig grund räknas t.ex ett samtycke, ett avtal eller en rättslig förpliktelse. Sedan finns det även något som kallas för intresseavvägning och vad det innebär kan du läsa om på denna sida hos Datainspektionen.
 
Vad är personuppgifter?Vad räknas som en personuppgift?
Med personuppgift syftas på all information som entydigt kan kopplas till en specifik person. Det kan vara uppenbara saker som exempelvis ett namn och en personlig e-postadress, men det kan också vara information som i kombination med andra uppgifter gör det möjligt att identifiera en person. Exempelvis kan information om en persons ålder, kombinerat med kön och bostadsort, göra det möjligt att identifiera personen. Nedan finns några exempel på uppgifter som kan bedömas vara personuppgifter:
 
ett namn
en gatu- eller postadress
en personlig e-postadress
ett online-ID
platsinformation
inkomst
ett foto
information om en persons hälsa
en dators IP-adress
 
Dataskyddsförordningen (GDPR) gäller även e-post
En stor skillnad jämfört med den tidigare lagstiftningen PUL är att EU:s nya dataskyddsförordning (GDPR) även gäller för ostrukturerad data som e-post. Så om din e-postkonversation innehåller personuppgifter (vilket ju är väldigt vanligt) så innefattas även denna hantering av GDPR. Exempelvis så måste personuppgifter i e-post skyddas på precis samma sätt som personuppgifter i en databas.
 
Datainspektionen har mer information om detta på webbsidan Hantera personuppgifter i e-post på deras webbsajt. Läs även detta blogginlägg samt denna artikel på vår hemsida för ytterligare information.
 
Rätt till informationRegistrerade personer har rätt att ta del av din information om dem
Personer som du registrerar i t.ex ditt kundregister har rätt att ta del av de uppgifter som du registrerat om dem. Informationen ska tillhandahållas kostnadsfritt i en lättillgänglig och skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk som alla kan ta del av.
 
Vid behov och under vissa omständigheter har registrerade personer även rätt att få hos dig lagrad data i ett portabelt format (sk dataportabilitet) om de vill använda uppgifterna i ett annat liknande sammanhang. Det här gäller dock endast information som den registrerade själv har lämnat.
 
Personer har rätt att bli bortglömda
Personer som du registrerat har även rätt att bli raderade och bortglömda under vissa omständigheter. Dvs bli helt bortplockade från alla dina register. Det här gäller dock inte om du måste uppfylla en rättslig skyldighet, t.ex lagra personuppgifterna enligt bokföringslagen. Men om vi antar att personen inte köpt något från dig och gett dig sitt samtycke till att du skickar denne reklam och information och personen sedan återkallar sitt samtycke och vill bli raderad, så är det din skyldighet att radera personen ur dina register (såvida inte några juridiska hinder föreligger).
 
Hanteringen av personuppgifter måste dokumenteras
Måste dokumenterasEnligt den nya dataskyddsförordningen har varje företag eller organisation en skyldighet att föra ett register / förteckning över alla behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektroniskt format och hållas uppdaterade. Genom att föra ett register kan företag och organisationer svara på frågor som var, varför, hur och hur länge personuppgifter behandlas. Bland annat ska registerförteckningen specificera ändamål med behandlingen, vilka kategorier av personuppgifter som behandlas, rättslig grund och hur länge personuppgifterna sparas. På begäran ska registret kunna göras tillgängligt för Datainspektionen.
 
Datainspektionen kan utdöma en sanktionsavgift för den som bryter mot reglerna
En nyhet jämfört med tidigare är att Datainspektionen nu kan utdöma en sanktionsavgift för den som bryter mot reglerna. Avgiften bedöms efter hur allvarlig överträdelsen är, om den skett avsiktligt eller av misstag, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter. Avgiften är som högst 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst.
  
Personuppgiftsansvarig och personuppgiftsbiträde
 
Du kanske har hört talas om begreppen personuppgiftsansvarig och personuppgiftsbiträde förut. De nämns flitigt nu i GDPR-sammanhang. Men vad innebär de och vad gör de? Vi ska förklara det kortfattat här nedan:
 
Den som ensam eller tillsammans med andra bestämmer varför och hur personuppgifter skall behandlas kallas för personuppgiftsansvarig. Vanligtvis är det en juridisk person, t.ex ett aktiebolag, en förening eller en myndighet, men det kan också vara en fysisk person, vilket exempelvis är fallet med en enskild firma. Läs mer här.
 
Ett personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, en offentlig myndighet, institution eller annat organ. Läs mer här.
   
Logotype - GDPRVad är GDPR en förkortning av?
 
Akronymen GDPR är en förkortning av General Data Protection Regulation och är det engelska namnet på den nya dataskyddsförordning som börjar gälla i EU fr.o.m 25 maj 2018. Hela förordningen hittar du här; där du kan läsa den på valfritt EU-språk (inklusive svenska).
   
Mer information
 
Vill du läsa mer om den nya dataskyddsförordningen, samt köra en GDPR-guide, rekommenderar vi följande sidor:
 
Introduktion till dataskyddsförordningen  (Datainspektionen)
Allt du behöver veta om EU:s nya dataskyddsregler  (CIO Sweden)
GDPR-guiden för företag  (Verksamt.se)
    
Vill du ha fler tips?
 
Om du vill ha fler liknande tips så kan du följa oss på Facebook eller Twitter. Du kan även prenumerera på vårt nyhetsbrev eller läsa vår blogg. Du hittar fler artiklar på denna sida.
Besök vår Facebook-sida Följ oss på Twitter Besök vår videokanal på YouTube
 
Se även:
Hur påverkar GDPR e-postmarknadsföring och nyhetsbrevsutskick?
 
Relaterad produktinformation:

SamLogic MultiMailer  -  Ett kraftfullt e-postverktyg som är anpassat för GDPR
 
 
SamLogic
Skriven av: Mika Larramo