Tio råd inför GDPR

De saftiga bötesbeloppen har fått många att höja på ögonbrynen när det gäller den nya dataskyddsförordningen, GDPR, som börjar gälla den 25 maj. Men förordningen är till för att värna om den personliga integriteten, vilket har fördelar för såväl företag som privatpersoner. Här är tio råd för en lyckad GDPR-övergång.

GDPR ersätter personuppgiftslagen (PUL). Hur det påverkar dig beror på vilken roll du har: Om du är anställd, driver egen verksamhet, är kund eller leverantör.

Den nya dataskyddsförordningen påverkar också dig som privatperson eftersom förordningen ger utökade möjligheter att få veta vilka uppgifter som företag eller organisationer lagrar.

Här återges några av nyheterna i kortform, även om en hel del känns igen från den gamla personuppgiftslagen. Observera att det krävs fördjupad information för att förstå hur GDPR ska tillämpas. Datainspektionen erbjuder ett omfattande informationsmaterial.

  • Är cheferna i din organisation medvetna om att personuppgiftslagen kommer att ersättas av dataskyddsförordningen? Om inte är det bråttom. I en organisation är det viktigt att bestämma vem som är ansvarig för dataskyddsfrågor. GDPR kräver även att ett dataskyddsombud utses. 
  • GDPR innebär tydligare information om personuppgiftsbehandling. Tanken är att enskilda ska ha kontroll över hur deras uppgifter hanteras av en organisation. För att klara det krävs att ni vet vilka uppgifter som hanteras. Ett register över personuppgifter är ett lagkrav i GDPR. 

  • All persondata som din organisation lagrar ska kartläggas, hur ni fått tag i dem och vilka de lämnas ut till. Det är ingen skillnad på anställda, kunder och leverantörer.

  • Med PUL var personuppgifter i det som kallas ostrukturerat material, exempelvis löpande text, tillåtet så länge det inte handlade om en kränkning av personlig integritet. Missbruksregeln, eller undantaget i den gamla personuppgiftslagen (PUL), går nu in som en del av GDPR och försvinner därmed som en egen regel. Har din organisation utnyttjat missbruksregeln bör ni ta reda på vad som gäller för GDPR beträffande juridisk grund, info till den registrerade, etcetera. Tidningsredaktioner är undantagna då de skyddas av yttrandefrihetslaget. Även upplysningssajter som Hitta eller Eniro är undantagna.

  • Granska den information som ni lämnar till de registrerade och fundera över vilka förändringar som kan bli nödvändiga att göra. Precis som med personuppgiftslagen måste den registrerade få veta ändamålet med behandlingen, men GDPR innehåller utökade krav på vilken information som ska lämnas till den registrerade.

  • GDPR ger alltså utökade rättigheter för den registrerade. Därför krävs att organisationer ser över sina rutiner för att uppfylla de rättigheter som registrerade har. 
    De viktigaste rättigheterna är att få tillgång till personuppgifter, få felaktiga uppgifter rättade eller raderade, att slippa direktmarknadsföring eller drabbas av automatiserat beslutsfattande samt profilering. Ändringarna ska göras utan kostnad för den registrerade. Tänk på att det är viktigt att vara säker på att en begäran verkligen kommer från den registrerade.

  • Samtycke är en viktig del av GDPR – och att ha koll på skillnaden mellan avtal och samtycke. Undersök på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.

  • Den nya dataskyddsförordningen har ett förstärkt skydd för barns personuppgifter. Syftet är att barn inte ska gå med på saker som de inte kan förutse effekterna av fullt ut. Det gäller i synnerhet kommersiella internettjänster. Åldersgränsen är 16 år beroende på land, lägsta gräns är dock 13 år. En organisation eller en tjänst måste kunna visa att vårdnadshavare har samtyckt.

  • GDPR kräver också rutiner vid dataintrång eller om en organisation förlorat kontrollen över personuppgifter. Det krävs dokumentation, anmälan inom en viss tid och att nödvändiga åtgärder vidtas vid allvarliga händelser.

  • Viss insamling av personuppgifter är förenade med särskilda risker, exempelvis när det gäller fri- och rättigheter. Den nya förordningen ställer högre krav vid stora integritetsrisker. Har informationen spridits vidare måste företaget informera om ändringarna även till tredje part.

Om man inte följer GDPR kan böterna gå upp till fyra procent av ett bolags globala årsomsättning, eller upp till 20 miljoner euro, men innan det blir fråga om vite ska Datainspektionen utfärda två varningar.