Vad är GDPR?
General Data Protection Regulation (GDPR), eller dataskyddsförordningen som den kallas i Sverige, är en större reform av hur man får behandla personuppgifter. Lagen bygger vidare på och ersätter personuppgiftslagen (PUL). Till skillnad från PUL, som infördes på 90-talet, så är GDPR framtagen med internet och de utmaningar som det skapar i åtanke.
Den nya lagen trädde i kraft den 25 Maj 2018 och kommer att definiera ansvarsområden för alla entiteter, oavsett var de är lokaliserade geografiskt, som hanterar EU-medborgares personuppgifter. Den utökar också avsevärt de rättigheter som EU- och EEA-medborgare har att bestämma vem som får lagra våra personuppgifter och vad de får göra med uppgifterna.
Transparens är en av grundpelarna i GDPR. I korthet så kan man säga att ingen har rätt att lagra eller hantera våra personuppgifter utan vår vetskap och samtycke, med undantag för några tydligt definierade fall.
GDPR lägger stor vikt vid hur företag lagrar och hanterar personuppgifter, därtill måste alla företag inte bara följa lagen utan aktivt bevisa hur de gör det. Allvarliga brott mot GDPR kan straffas med böter på upp till 20 miljoner euro eller 4% av företagets globala omsättning, beroende på vilket som är högst.
Vad kommer förändras?
Terminologi
Den registrerade - en person vars personuppgifter hanteras av en personuppgiftsansvarig eller ett personuppgiftsbiträde.
Personuppgiftsansvarig - en fysisk eller juridisk person, t.ex. företag eller myndighet som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. T.ex. är ett företag som håller en databas på e-postadresser i marknadsföringssyfte en personuppgiftsansvarig.
Personuppgiftsbiträde - en fysisk eller juridisk person, t.ex. företag eller myndighet som behandlar personuppgifter för den personuppgiftsansvariges räkning. Exempelvis skulle det kunna vara en Marketing Automation plattform som skickar e-post åt ett annat företag.
Vad är personuppgifter?
GDPR gäller “personuppgifter”, vilket innefattar alla uppgifter som direkt eller indirekt kan identifiera en person.
Den här definitionen tillåter en väldigt bred tolkning på vad som kan vara en personuppgift, men exempelvis kan det vara namn, personnummer, adresser, nätalias, IP-adresser, m.m. Syftet är att kunna anpassa sig efter de teknologiska förändringar och sätt på vilka företag samlar uppgifter om sina kunder.
Vad för typ av rättigheter ger GDPR EU-medborgare?
Rätt till information
Individer har alltid rätten att bli informerade om när deras personuppgifter samlas in och används. Det här är ett av de grundläggande kraven på transparens inom GDPR.
Vid det tillfälle du samlar in den registrerades uppgifter så måste du berätta för personen varför du samlar in uppgifterna, hur länge du planerar att behålla uppgifterna och vem du kommer dela uppgifterna med.
Samtycke
GDPR har strikta krav för vad som kan räknas som samtycke när en person ger ut sina personuppgifter. Kraven börjar gälla när en person t.ex ger sin e-postadress till ett företag via ett formulär på deras hemsida, i syftet att ta emot marknadsföring via e-post från företaget.
GDPR understryker att samtycket måste vara:
Frivilligt
Samtycket kommer inte anses vara frivilligt om personen inte kan neka eller ångra sitt samtycke utan konsekvenser. T.ex. så skulle inte ett företag som begär ut personuppgifter av sina anställda uppfylla det här kravet på grund av relationen dem emellan.
Specifikt
Var specifik och granulär, så att du får olika samtycken för olika saker. Ett vagt eller allmänt samtycke räcker inte.
Informerat
Samtycket kan endast ges efter att den registrerade har fått information om personuppgiftsbehandlingen, se “Rätt till information” ovan.
Entydigt
Samtycke kräver ett aktivt val, där det är tydligt vad detta innebär för den registrerade. Använd inte t.ex. förifyllda checkboxar eller så kallade “Browse-wrap agreements”.
Samtycke innebär att man ger personen ett riktigt val och inflytande över sitt val. Verkligt samtycke sätter individen främst och bygger en tillit och ett engagemang mellan dig och individen. Samtidigt kan ett verkligt samtycke ha en positiv inverkan på ditt rykte.
Rätt till radering
GDPR ger rätten till individer att få sina personuppgifter raderade från era system och databaser. En person kan göra sin begäran antingen muntligt eller skriftligt, varefter den personuppgiftsansvarige sedan har en månad på sig att besvara den registrerades begäran.
De registrerades övriga rättigheter
GDPR ger EU- och EEA-medborgare ett antal rättigheter de kan utöva. Vi har alla rätten att veta vem som har tillgång till våra personuppgifter och varför. För att en personuppgiftsansvarig ska följa GDPR, krävs bland annat att denne främjar möjligheten för registrerade att utöva dessa rättigheter. Förutom de rättigheter vi redan nämnt, har de registrerade även rätt att:
- • begära ut en kopia av sina personuppgifter i ett portabelt format, utan kostnad
- • att få felaktiga uppgifter rättade eller kompletterade ifall de är ofullständiga
- • begränsa vilken typ av uppgifter som kan lagras eller behandlas
- • återkalla sitt samtycke när som helst
- • begränsa hur personuppgifterna kan behandlas
- • tydligt informeras om alla dessa rättigheter
Samtidigt är personuppgiftsansvariga skyldiga att:
- • göra det lika enkelt för den registrerade att återkalla sitt samtycke som det är att ge det
- • ta alla rimliga åtgärder för att verifiera identiteten hos den registrerade som gör den här typen av förfrågningar
- • besvara och utföra dessa förfrågningar utan dröjsmål
- • ta bort personuppgifter så fort syftet för att uppgifterna samlades in inte längre existerar (utan att den registrerade behöver begära det)
- • se till att alla personuppgiftsbiträden man väljer att samarbeta med följer GDPR och på ett säkert sätt hanterar personuppgifterna de ska behandla