Detta är en GDPR-sammanfattning, en sammanfattning av vad den allmänna dataskyddsförordningen (på engelska General Data Protection Regulation) handlar om och en översikt över lagen och dess konsekvenser.
Vad är GDPR?
GDPR är en EU-lag med obligatoriska regler för hur organisationer och företag får använda personuppgifter på ett integritetsvänligt sätt. Med personuppgifter avses all information som direkt eller indirekt kan identifiera en levande person. Namn, telefonnummer och adress är skolboksexempel på personuppgifter. Intressen, information om tidigare köp, hälsa och beteende online betraktas också som personuppgifter eftersom det kan identifiera en person.
Att behandla data betyder att samla in, strukturera, organisera, använda, lagra, dela, avslöja, radera och förstöra data. Varje organisation som behandlar personuppgifter (som är varje organisation med anställda och kunder) måste se till att personuppgifterna den använder uppfyller kraven i GDPR.
Sammantaget är de viktigaste kraven för GDPR följande:
- Nytt för GDPR: Samma lag i hela Europa. GDPR gäller i alla EU-länder, vilket gör det enklare för både företag och medborgare.
- Användning av personuppgifter måste ske i enlighet med integritetsvänliga principer. Till exempel måste behandlingen ha ett definierat syfte. Därför kan du inte samla in personlig information “bara i fall” du kanske behöver den senare. Var ärlig, transparant och öppen för hur du använder data. Det vill säga individer har rätt att veta hur deras uppgifter används, och de måste ha något att säga i denna fråga. Organisationer får bara lagra personuppgifter så länge det är nödvändigt. Dessutom måste behandlingen vara trygg och säker. Organisationer måste ha och upprätthålla rätt dokumentation som visar att de följer regelverket.
- Användning av personuppgifter måste vara laglig. GDPR fastställer sex alternativ för den rättsliga grunden (till exempel samtycke eller kontrakt). Om din behandling inte är baserad på något av dessa är den inte lagligt. Det kan vara nödvändigt att behandla personuppgifter för utförandet av ett kontrakt. Det kan också vara nödvändigt att använda personuppgifter för att förhindra bedrägeri och utföra marknadsföring.
- Användning av personuppgifter måste respektera individens rättigheter. GDPR ger varje person vissa rättigheter till sina personuppgifter. De har rätt att få tillgång till sina personuppgifter. De har rätt att veta hur en organisation använder uppgifterna, motsätter sig behandlingen etc.
- Nytt för GDPR: överträdelser av personuppgifter måste rapporteras inom 72 timmar. Om personuppgifter lämnas ut, öppnas, ändras eller stjäls är du skyldig att agera. Detta även om överträdelsen inträffade hos en av dina leverantörer. Om du kan fastställa att inga personuppgifter riskerades så är det förmodligen inte är en händelse som måste rapporteras. Vid förlust av känslig data, exempelvis hälso- eller ekonomiuppgifter, måste händelsen rapporteras till myndigheten och varje drabbad individ inom 72 timmar.
- Nytt för GDPR: Beställare är ansvariga för sina leverantörer. I den nya lagen införs skyldigheter för den registeransvarige att kontraktuellt reglera att dess leverantörer följer skyldigheterna om dataskydd. Om leverantören skulle riskerar uppgifterna, så är det den registeransvarige som är ansvarig.
- Nytt för GDPR: Sanktionernas storlek är betydande. Organisationer som bryter mot lagen kan få sanktioner på upp till det högre beloppet av 4% av sin globala omsättning (de senaste 12 månaderna) eller 20 miljoner euro.
Varför behövs GDPR?
Personuppgifter är värdefulla; det finns inga tveksamheter om det. Data gör det möjligt att utveckla affärsmodeller, få kunskap om sina kunder, genomföra effektiva marknadsföringskampanjer och utveckla sina produkter och tjänster. Men precis som för många andra tillgångar så finns behov av att ansvarsfull användning regleras utifrån gemensamma spelregler.
Under de senaste åren har vi sett rubriker av personuppgifteröverträdelser och skandaler från Facebook, eBay, Equifax och Uber. Hundratals miljoner individers personuppgifter (personnummer, adresser, kreditvärdighet etc.) äventyrades. GDPR anger inte bara tydligt att en individs personuppgifter tillhör individen; det hotar också att ålägga betydande böter för företag som inte följer reglerna. I Europa anses sekretess och dataskydd vara viktiga komponenter för en hållbar demokrati. GDPR är utformad för att skydda dessa förutsättningar och är en uppgradering av EU:s tidigare dataskyddsdirektiv.
De viktigaste praktiska konsekvenserna
Sammanfattningen av GDPR är att lagen fastställer skyldigheter för företag och ger rättigheter för medborgarna. För företag är det klokt att uppdatera eller etablera sitt program för dataskydd. Här är några exempel på to-dos:
- Informera medborgare och kunder om dina aktiviteter på ett öppet sätt. De personer vars personuppgifter du behandlar (registrerade) måste informeras om din behandling. För detta ändamål använder organisationer integritetsmeddelanden och olika sekretesspolicyer på webbplatser, som en del av serviceavtal etc.
- Utnämna ett Dataskyddsombud till din verksmahet som ska driva och fungera som expert om din verksamhets dataksyddsarbete. Dataskyddsombudet ska rapporteras till den ansvarige tillsynsmyndigheten i det land där din verksamhet är etablerad. Regelrna för dataskyddsombud återfinns i artiklarna 37-38 i GDPR.
- Hantera medborgarnas och individers rättigheter effektivt. Om en registrerad kontaktar dig för att utöva sina rättigheter enligt GDPR, som är många, måste du kunna agera snabbt. Den registrerade har rätt att få tillgång till sina personuppgifter och ta emot en post av de uppgifter du har, att ha uppgifterna korrigerade vid fel, att ta bort uppgifterna om vissa kriterier är uppfyllda, att deras data exporteras under vissa omständigheter och har rätt att invända eller begränsa vissa användningsfall av dess personuppgifter. Det finns tidsgränser som måste uppfyllas när du hanterar dessa förfrågningar.
- Reglera ansvaret mellan köpare (Personuppgiftsansvarig) och leverantör (Personuppgiftsbiträde). Om du är ett företag som har anlitat ett annat företag för att behandla data för din räkning (till exempel ett IT-företag som ger dig tillgång till deras molntjänster), är du “personuppgiftsansvarig” för personuppgifterna. Det anlitade företaget kommer att vara ”personuppgiftsbiträde”. För detta affärsförhållande behöver du ett personuppgiftsbiträdesavtal (”DPA”) utöver huvudavtalet. Ett DPA fastställer regler för hur personuppgiftsbiträdet kan använda personuppgifterna för att uppfylla syftet med det kommersiella avtalet.
- Hålla ett register för databehandling. Varje personuppgiftsansvarig och varje personuppgiftsbiträde måste hålla en förteckning över information om användningen av data. Reglerna för detta register anges i artikel 30 GDPR.
- Upprätta processer för att hantera överträdelser av personuppgifter inom en 72-timmars tidsram. Om ditt företag utsätts för ett dataintrång måste du vidta åtgärder för att minimera riskerna. I vissa fall måste du också kontakta din tillsynsmyndighet och individerna. En incident kan vara förlust, förstörelse eller obehörig tillgång till personuppgifter.
- Analysera möjliga risker och påverkan på medborgarnas rättigheter för den avsedda användningen av personuppgifter. Företag måste göra en riskbedömning om de kommer att använda personuppgifter på ett nytt och innovativt sätt, byta molnleverantörer eller skapa nya tjänster. Om din avsedda användning av personuppgifter kan betraktas som riskabelt, med avseende på uppgifternas känslighet, behandlingsskalan osv., Måste du granska behandlingen och utvärdera de effekter den kan ha på de registrerade. Denna process kallas konsekvensbedömning (”DPIA”) och beskrivs i artikel 35 i GDPR.
Denna sammanfattning av GDPR är en introduktion till hur dataskyddet fungerar i Europa. Läs våra andra artiklar som presenterar nyckelbegrepp och fraser.