Att hantera personuppgifter är inte längre något man gör på känn. Jag ser ofta att många företagare, särskilt i mindre bolag, tycker att GDPR är en snårig djungel av regler som bara skapar merarbete. Och visst, det kan kännas överväldigande. Men i grunden handlar det faktiskt om sunt förnuft och att visa respekt för dina kunders och anställdas integritet, vilket ju bygger förtroende på lång sikt.
Glöm de där tjocka pärmarna med juridisk text. Syftet här är att bryta ner det viktigaste på ett sätt som du faktiskt kan använda i din vardag. Det handlar om att förstå principerna, inte att kunna citera paragrafer utantill. Så, låt oss gå igenom vad du verkligen behöver veta.
GDPR står för General Data Protection Regulation, och på svenska heter den Allmänna dataskyddsförordningen, men oftast säger vi bara dataskyddsförordningen. Det är en EU-gemensam lagstiftning som trädde i kraft 25 maj 2018 och ersatte den gamla svenska personuppgiftslagen (PUL). Syftet med dataskyddsförordningen är att stärka enskildas rättigheter och integritetsskydd genom att ge dem mer kontroll över sina personuppgifter. Förordningen reglerar all behandling av personuppgifter och ställer hårdare krav på dokumentation, rutiner och processer hos alla organisationer som hanterar sådana uppgifter.
Hela GDPR vilar på sju grundläggande principer som måste genomsyra all din behandling av personuppgifter. Tänk på dessa som ditt rättesnöre. Om du har koll på dem har du kommit en väldigt lång väg.
Först och främst har vi laglighet, korrekthet och öppenhet. Det betyder att du måste ha en rättslig grund för att samla in data (mer om det sen), att informationen du har ska vara korrekt och att du måste vara transparent med hur du använder den. Ingen gillar ju dolda agendor.
Nästa princip är ändamålsbegränsning. Du får bara samla in personuppgifter för specifika, uttryckligt angivna och berättigade ändamål. Du kan alltså inte samla in e-postadresser för ett nyhetsbrev och sedan börja använda dem för profilering utan att informera om det. Syftet ska vara klart från början.
Sedan har vi uppgiftsminimering och lagringsminimering. Samla inte in mer data än vad du absolut behöver för ditt syfte, och spara den inte längre än nödvändigt. Om en kund slutat handla hos dig för flera år sedan finns det sällan någon anledning att ha kvar hens adressuppgifter. En ordentlig radering är en del av ett gott dataskydd.
Slutligen handlar det om integritet och konfidentialitet samt ansvarsskyldighet. Du måste skydda de personuppgifter du hanterar mot obehörig åtkomst och förlust. Och du måste kunna visa att du faktiskt följer reglerna, till exempel genom interna policys och dokumentation. Detta är kärnan i ett fungerande integritetsskydd.
Det här är två roller som ofta blandas ihop, men skillnaden är faktiskt ganska enkel. Den som bestämmer *varför* och *hur* personuppgifter ska behandlas är personuppgiftsansvarig. I de flesta fall är det ditt företag som är personuppgiftsansvarig för era kunders och anställdas uppgifter.
Ett personuppgiftsbiträde är istället en extern part som behandlar personuppgifter *på uppdrag* av den personuppgiftsansvarige. Ett klassiskt exempel är ett företag som hanterar er löneadministration eller en molntjänst där ni lagrar kundregister. De bestämmer inte själva vad som ska göras med datan, utan följer bara dina instruktioner. Och det är ditt ansvar som personuppgiftsansvarig att teckna ett personuppgiftsbiträdesavtal med alla sådana leverantörer. Det avtalet reglerar exakt hur de får hantera informationen.
Du får inte samla in och använda personuppgifter hur som helst. Varje behandling av personuppgifter måste stödjas av en så kallad rättslig grund. Det finns sex stycken att välja mellan, men de vanligaste för företag är avtal, samtycke och intresseavvägning.
Avtal: Om du behöver behandla någons uppgifter för att uppfylla ett avtal med dem, till exempel för att kunna leverera en vara till en kunds adress, då är avtalet din rättsliga grund.
Samtycke: För saker som inte är direkt nödvändiga, som att skicka ut marknadsföring, behöver du ofta ett aktivt samtycke. Ett samtycke enligt GDPR måste vara frivilligt, specifikt, informerat och otvetydigt. Det räcker alltså inte med en förifylld kryssruta. Personen måste aktivt välja att tacka ja, och det ska vara lika enkelt att ta tillbaka sitt samtycke.
Intresseavvägning: Ibland kan du behandla uppgifter om ditt intresse väger tyngre än individens intresse av skydd. Det kan till exempel handla om direktmarknadsföring till befintliga kunder. Men här gäller det att vara försiktig och göra en noggrann bedömning. Du måste alltid informera den registrerade om att du använder denna grund.
En av de stora förändringarna med EU:s dataskyddsförordning är att den stärker individens rättigheter. Det är viktigt att du har processer på plats för att hantera dessa när någon hör av sig.
Alla har rätt till tillgång, vilket innebär att de kan begära ett registerutdrag för att se exakt vilken information du har om dem. De har också rätt till rättelse om uppgifterna är felaktiga.
Den mest kända är kanske rätten till radering, även kallad "rätten att bli bortglömd". Under vissa omständigheter kan en person kräva att du tar bort all data du har om dem. Detta gäller dock inte om du måste spara uppgifterna för att uppfylla en annan lag, som bokföringslagen.
Andra viktiga rättigheter inkluderar rätten till begränsning av behandling, informationsplikt (du måste informera om hur du behandlar data) och dataportabilitet, vilket ger en person rätt att få ut sin data i ett maskinläsbart format för att flytta den till en annan tjänst.
Många mindre företag oroar sig för att de måste anlita ett dataskyddsombud (DPO). Sanningen är att de flesta inte behöver det. Kravet gäller främst offentliga myndigheter och företag vars kärnverksamhet består av storskalig, regelbunden och systematisk övervakning av individer eller behandling av känsliga personuppgifter. För den vanliga småföretagaren är det sällan aktuellt.
Däremot måste alla ha en plan för incidenthantering. En personuppgiftsincident är en säkerhetshändelse som leder till att personuppgifter förstörs, förloras, ändras eller röjs för obehöriga. Det kan vara allt från ett dataintrång till en borttappad laptop. Om en sådan incident inträffar och den sannolikt medför en risk för enskildas rättigheter, måste du anmäla den till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Därför behöver du ha färdiga rutiner på plats.
Ett område som blivit alltmer komplicerat är överföring av data till tredjeland, det vill säga länder utanför EU/EES. GDPR ställer strikta krav på att skyddsnivån för personuppgifterna måste vara lika hög som inom EU. Det här påverkar användningen av många populära molntjänster från exempelvis USA. Du måste säkerställa att det finns en giltig mekanism för överföringen, som till exempel EU-kommissionens standardavtalsklausuler, och ofta göra en egen bedömning av skyddsnivån i mottagarlandet.
Och anledningen till att man bör ta detta på allvar är de potentiella konsekvenserna. GDPR införde kännbara sanktionsavgifter för de som bryter mot reglerna. Avgifterna kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst. Även om sådana summor är sällsynta för småföretag visar de på allvaret i denna lagstiftning.
En central idé i dataskyddsförordningen är inbyggt dataskydd (privacy by design) och dataskydd som standard (privacy by default). Det innebär att du ska tänka på dataskydd från allra första början när du utvecklar nya system, tjänster eller processer. Det ska inte vara en eftertanke. Dataskydd som standard betyder att de mest integritetsvänliga inställningarna ska vara förvalda.
Detta knyter an till kravet på dokumentation. Du måste kunna visa att du följer lagen. Det gör du genom att upprätta ett register över din behandling av personuppgifter, ha interna riktlinjer och se till att dina avtal är korrekta. Det är det här arbetet som bygger en hållbar struktur för ditt dataskyddsarbete och som faktiskt gör att du kan sova gott om natten.
GDPR innebär att företag och organisationer måste ha en laglig grund för att hantera personuppgifter, vara öppna med hur de används, skydda dem och respektera individers rättigheter, som rätten att bli bortglömd.
Ja, det är samma sak. GDPR är den engelska förkortningen för General Data Protection Regulation, medan dataskyddsförordningen är det svenska namnet.
GDPR trädde i kraft och började tillämpas i hela EU den 25 maj 2018.
Alla organisationer, företag, myndigheter och föreningar som behandlar personuppgifter och är verksamma inom EU, eller som behandlar personuppgifter om EU-medborgare, måste följa GDPR.
De sju principerna är: laglighet, korrekthet och öppenhet; ändamålsbegränsning; uppgiftsminimering; korrekthet; lagringsminimering; integritet och konfidentialitet; samt ansvarsskyldighet.
En personuppgift är all information som direkt eller indirekt kan kopplas till en levande fysisk person. Exempel är namn, personnummer, e-postadress, IP-adress och foton.
Den personuppgiftsansvarige bestämmer syftet och medlen för behandlingen av personuppgifter (t.ex. ditt företag). Personuppgiftsbiträdet behandlar uppgifterna på uppdrag av den ansvarige (t.ex. en molntjänstleverantör).
Individer har flera rättigheter, bland annat rätten till tillgång (registerutdrag), rättelse, radering ("att bli bortglömd"), begränsning av behandling och dataportabilitet.
Ett giltigt samtycke måste vara frivilligt, specifikt, informerat och vara en otvetydig viljeyttring. Det innebär att personen aktivt måste godkänna behandlingen, till exempel genom att kryssa i en ruta.
Troligtvis inte. Kravet gäller främst offentliga myndigheter och organisationer som bedriver storskalig övervakning eller behandlar känsliga uppgifter i stor omfattning.
En personuppgiftsincident som medför risker för enskilda ska anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. De drabbade personerna kan också behöva informeras.
Personuppgifter får inte lagras längre än vad som är nödvändigt för de syften de samlades in för. Lagringstiden varierar beroende på ändamålet och annan lagstiftning, som bokföringslagen.
Nej, GDPR skyddar endast fysiska ("levande") personers uppgifter. Information om juridiska personer, som ett företags organisationsnummer eller växeltelefonnummer, är inte personuppgifter.
En Data Protection Impact Assessment (DPIA) är en riskanalys som måste göras innan man påbörjar en behandling av personuppgifter som sannolikt medför en hög risk för enskildas rättigheter, exempelvis vid användning av ny teknik eller storskalig övervakning.
