I nästan 20 år har personuppgiftslagen, PUL, styrt hur och vem som får hantera personuppgifter. Från och med den 25 maj tar GDPR över. GDPR är EU:s nya dataskyddsförordning ”General data protection regulation”. GDPR reglerar all form av behandling avseende information som direkt eller indirekt kan knytas till en person.
För myndigheter, företag och organisationer kan detta komma att betyda en hel del förändringar.
Oavsett vilken bransch du arbetar inom så är sannolikheten stor att GDPR på något sätt kommer att påverka din arbetsdag. Anställda inom allt från HR, marknadsföring, rättsväsende till IT kommer att behöva se över sina system, rutiner och hur man arbetar med att samla in personuppgifter.
Individen får starkare rättigheter
Syftet med den nya lagen är att stärka skyddet för fysiska personer vid behandling av personuppgifter. Dataskyddsförordningen stärker enskildas rätt att informeras om när data samlas in och på vilket sätt de samlas in.
Personuppgifterna kan utgöras av information om såväl anställda som kunder eller potentiella kunder. En förhoppning från EU är att genom GDPR få fram en harmonisering bland EU:s medlemsstater gällande den här typen av regelverk. Tidigare har det varit upp till varje land att tolka direktivet om skydd av personuppgifter, men från och med 25 maj 2018 kommer alltså samma lagtext gälla i alla EU-länder.
Kraven på att företag och andra organisationer ska informera hur de hanterar uppgifter, vilka uppgifter och varför, stärks gentemot individen. Individen ska också kunna säga nej till att personuppgifterna används. I det ökade skyddet ingår också rätten att få sina personuppgifter bortplockade från sökmotorer – dvs rätten att få bli glömd.
PUL vs GDPR
Den främsta skillnaden är att företag inte längre kan äga personuppgifter utan endast låna dem. Medan PUL varit mer fokuserat på hur data ska hanteras och förvaltas först när företaget anskaffat dem, tar GDPR ett större grepp även kring hur och varför man samlar in den.
Vad räknas som personuppgifter
En personuppgift avser varje enskild upplysning som direkt eller indirekt kan identifiera en fysisk person.
- T ex namn, identifikationsnummer, lokaliseringsuppgift, online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Som t ex: Lägenhetsnr, kundnr, e-postadress, telefonnr, registreringsnr, IP-nr, bild, hälsodata, köphistorik, m m
Vad räknas som personuppgiftsbehandling
Det är en åtgärd eller kombination av åtgärder som innehåller personuppgifter oavsett om det är automatiserat eller inte, som t ex:
- insamling
- registrering
- organisering
- strukturering
- lagring
- bearbetning eller ändring
- framtagning
- läsning
- användning
- utlämning genom överföring
- spridning eller tillhandahållande annat sätt
- justering eller sammanförande
- begränsning
- radering eller förstöring
Håll koll på den information ditt företag lagrar om individen och varför den lagras
Störst förändring blir det för de som hanterar uppgifterna. De:
- Måste känna till sin data och alla system som hanterar informationen.
- Behöver veta varför just de här uppgifterna behövs, hur de samlas in och vem som har tillgång till dem.
- Ska se till att de uppgifter som samlas in är adekvata och relevanta i förhållande till ändamålen. Uppgifterna får alltså inte vara för omfattande – inte mer än vad som är nödvändigt med hänsyn till ändamålen.
- Ska ha koll på informationen. Som företag eller organisation som hanterar personuppgifter bör man redan nu kunna besvara dessa frågor:
- Varför har vi uppgifterna?
- Behöver vi uppgifterna?
- Hur samlas de in?
- Vem har tillgång till dem?
- Kan inte lägga över ansvaret på IT-leverantörerna. Företaget behöver göra en genomlysning av hur lagring sker och sedan åtgärda svaren, så att företaget hanterar personuppgifter i enlighet med GDPR.
- Måste kunna visa att förordningen följs. Det kommer troligen betyda krav på ökad dokumentation. Detta ska hanteras av den som är personuppgiftsansvarig. Personuppgiftsansvarig är en juridisk person, vilket innebär att ansvaret inte kan läggas över på en enskild person.
- Hanterar man personuppgifter i stor omfattning, känsliga personuppgifter eller kartlägger beteenden eller intressen behöver företaget utse en dataskyddsansvarig.
Konsekvenser för den som inte sköter sig
Om ett företag inte följer dataskyddsförordningen avseende personuppgifter kan de tvingas betala en så kallad administrativ sanktionsavgift. I Sverige är det Datainspektionen som gör den bedömningen. Det kommer också att finnas en central dataskyddstyrelse i EU som tar fram riktlinjer och fattar beslut om tolkningar. Beloppen kan bli upp till 20 miljoner euro, vilket är en nivå som är jämförbar med brott mot miljö- och arbetsmarknadslagar.
Rapportera snarast om personuppgifter läckt ut till orätta händer
Dataintrång har blivit allt vanligare på senare år. Det är därför viktigt att skydda sin IT-miljö. Skulle personuppgifter råka hamna i fel händer ska detta rapporteras inom 72 timmar till såväl Datainspektionen som till de individer vars personuppgifter läckt ut.
Läs mer om GDPR:https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/
https://www.verksamt.se/driva/gdpr-dataskyddsregler/gdpr-guiden
