GDPR – den nya dataskyddsförordningen

Det brinner i knutarna och den nya dataskyddsförordningen GDPR, träder i kraft imorgon. GDPR är förordningen som behandlar hur företag, organisationer, myndigheter och föreningar inom EU får hantera, lagra, analysera och arbeta med de personuppgifter som samlas in. GDPR har knappast undgått någon. De senaste veckorna har det ramlat in mail från stressade företag som behöver presentera nya villkor eller be om ert godkännande för att få fortsätta skicka mail till er.

Läs mer om vad GDPR innebär här och här.

Varför stressar vi?

Men varför den här stressen? Vad är egentligen skillnaden mot PuL, Personuppgiftslagen, som vi anpassat oss till sedan 1998? Egentligen är skydd av personuppgifter inget nytt. PuL var direktiv från, och för EU, där målet var att skydda individens integritet, precis som GDPR. Mycket av GDPR påminner om PuL men PuL är 20 år gammalt och mycket har hänt sedan dess. Särskilt med vår IT och vår teknik.

Digitaliseringen skyndar på vår möjlighet att samla in information och förfinar de analysmetoder som finns tillgängliga. Det gör insamling och spridning av data enklare och som privatperson har du inte längre kontroll över hur dina uppgifter används. Förmodligen var det läge att ge tillbaka kontrollen till individen, så att individen bibehåller rätten till sig själv och sin integritet.

I en artikel på idg.se beskrivs en viktig skillnad mellan PuL och GDPR som att företag inte längre kan äga uppgifter om privatpersoner, utan bara låna dem. Om företag förstår den skillnaden, har de kommit långt i sin omställning till GDPR (artikel).

Det finns fler exempel

Det beskrivs även mer konkreta förändringar. Företag måste kunna visa vad de gör med de uppgifter som samlas in, det ska inte gå att ha en dold agenda. En annan del är att samtycket måste vara frivilligt, företag kan inte kräva samtycke i utbyte av tjänster som personen är berättigad till. Den legala grunden; berättigat intresse kommer numer innebära att varje avvägning som görs bör dokumenteras (artikel).

Som vi skrivit om tidigare så finns det såklart fler saker som skiljer. Som exempel innebär en förordning att samtliga bestämmelser ska gälla för alla medlemsländer, med viss anpassning till nationella lagar, medan PuL var direktiv där varje land fick tolka direktivet för sitt land. GDPR innebär därför att lika bestämmelser gäller för alla inom EU och då får vi en mer enhetlig och likvärdig nivå för skydd av personuppgifter.

Det är en del förändringar som sker och vårt tips är att inte samla personuppgifter av slentrian. Att skapa rutiner för hur ni går igenom era listor, rensar och kan ”glömma en person” om det skulle behövas. Se till att veta i vilket syfte ni samlar in och lagrar de personuppgifter ni gör. Testa om ni kan motivera de personuppgifter ni sparar, kan ni bygga det på någon av de sex rättsliga grunder som anges för personuppgiftslagring? Se även till att kontinuerligt förbättra och upprätthålla den rutinen ni skapat.

Läs mer på Datainspektionens hemsida