GDPR!? Vad är det?

Från och med den 25 maj 2018 är det PRIVATPERSONEN som har makten över sin egen data.

  • Användarna ger sitt samtycke till att data om dem samlas in, användaren kan inte tvingas att lämna ifrån sig data och kan motsätta sig så kallad profilering.
  • Användarna kan begära ut vilken data samlat in om dem.
  • Användaren kan kräva att deras data korrigeras.
  • Användarna kan kräva att företagen raderar all data om dem.
  • Användarna kan kräva att företag samlar all data om dem och skickar över till ett annat företag inklusive värsta konkurrenten.
    företag måste, när de ber om användarnas samtycke att bidra med sin persondata, förklara varför och vad uppgifterna ska användas till.
  • Företagen får inte samla in, och lagra, personuppgifter utan klart ändamål, det måste finnas ett ” legitimt syfte” med att samla in data, och persondata som lagras måste minimeras.
  • Företag kan bara spara data under begränsad tid.
  • Företag måste ha dokumenterad organisation och rutiner för hur data hanteras.
  • Företag måste ha rutiner och organisation för att hantera säkerhetsincidenter (till exempel om en okrypterad mobiltelefon med personuppgifter i tappas bort eller blir stulen).

Om företagen brister i sitt sätt att samla in och hantera användardata kan konsekvenserna bli kännbara med böter på 4 procent av företagets omsättning (även om det pratas om rimlighetsprincip i straffen). För det hypotetiska exemplet Ikea, innebär böter för en enda överträdelse 13 miljarder kronor!

Journalistik är undantaget
Liksom i personuppgiftslagen undantas behandling av personuppgifter som sker för journalistiskt ändamål. Det gäller exempelvis om du som publicist
”har som syfte att informera eller sprida idéer till allmänheten”, det vill säga det som är mediernas huvudsakliga syfte. Det är därför särskilt viktigt att mediebolagen ser till att få bra koll på vilken del av deras verksamhet som omfattas av ett journalistiskt ändamål och vad som faller utanför.

GDPR (General Data Protection Regulation) är en administrativt tung lagstiftning om man jämför med PUL eftersom lagen kräver att bolagen ska kunna demonstrera att de följer lagen.

Det positiva är dock att GDPR drabbar alla lika – alla som jobbar mot konsumenter i EU måste anpassa sig – även bjässar som Google och Facebook”. Kanske man kan kalla det GoD PR! ;^)

Detta gäller:

Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt ändamål. Spara inte uppgifterna längre än ett år. Se till att ni har stöd i lagen för att samla in uppgifterna

Med dataskyddsförordningen kommer även genetiska uppgifter räknas som känsliga personuppgifter. Samma sak gäller biometriska uppgifter som används för identifiera en fysisk person.

AVTAL
Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter (men bara de uppgifter som behövs för att uppfylla avtalet).

SAMTYCKE
Ett annat alternativ är att be personen ifråga att få registrera uppgifter om honom/henne. Det kallas för att få personens samtycke. Man måste få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att man sedan ska kunna ge sitt godkännande.
Tex. i CRM-system för kundvård vill man kanske registrera fler uppgifter om kunderna än de som behövs för att uppfylla avtalet med kunden. Spelar kunden golf? Hur många barn har kunden? Har kunden allergier som kan vara bra att känna till innan affärslunchen? För att få registrera den typen av uppgifter krävs normalt att kunden ger sitt samtycke, det vill säga att kunden först får information om att ni kommer att spara den typen av uppgifter och varför, och sedan godkänner att ni gör det. Men, man måste också se till att uppgifterna är relevanta för kundrelationen. Annars får de inte registreras.

INFORMERA
När ni samlar in uppgifter om en person så måste ni informera personen i fråga. I förordningen finns en lång lista över vilken information som ska ges, men mycket kort ska ni tala om att ni samlar in personuppgifter, vilka uppgifter det handlar om och varför ni gör det. Kommer ni att lämna uppgifterna vidare till andra, måste ni tala om det.

En viktig regel i förordningen är att man inte får spara personuppgifter för länge. När de inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort.

SÄKERHET
Se över säkerheten! Tänk på att skydda personuppgifterna som ni hanterar, så att de inte stjäls eller oavsiktligt raderas eller ändras. Ett nytt krav i förordningen är att om ni råkar ut för en ”personuppgiftsincident” så måste ni rapportera det till Datainspektionen. En sådan incident kan till exempel vara ett usb-minne med personuppgifter som tappats bort, ett dataintrång på en av företagets servrar eller att någon anställd obehörigt tagit del av personuppgifter. Ett tips är att se över skyddet av personuppgifterna i era it-system så att incidenter inte inträffar.

ANSVAR
Alla företag (och andra organisationer) är enligt förordningen skyldiga att ha ett register som beskriver de olika sätt som man hanterar personuppgifter på. Vem internt är ansvarig för ett visst register eller it-system, vad används det till, vilka typer av personer förekommer i det, vilka typer av uppgifter och med vilken rättslig grund hanteras uppgifterna?

Länk till Datainspektionen.se OBS byter namn till ”Integritetsskyddsmyndigheten”!