Jag antar att du också har sett artiklar, fått inbjudningar till kurser, hört av er IT-leverantör, etc. om GDPR – General Data Protection Regulation. Dataskyddsförordningen är ett bättre begrepp, men kanske blir det ändå GDPR som fastnar hos de som är berörda och för de som marknadsför begreppet hårt nu för att de kan tjäna en peng på detta. I min inkorg ser jag en kraftig ökning av mail som på något sätt handlar om GDPR. Det lär nog fortsätta att öka, i alla fall fram till den 25:e maj när förordningen träder i kraft.
Bilden visar antal epost-meddelanden i min inbox som innehåller ordet “gppr” två år tillbaka i tiden.
Vad är GDPR eller Dataskyddsförordningen?
Det är en EU-förordning som syftar till att skydda EU-medborgare. Det är alltså i grund och botten en god sak för oss som bor i EU.
Grovt sett kan man säga att förordningen är till för att skydda integriteten för vår personliga data, för att ge oss möjligheten att blir raderade eller glömda samt att vi ska kunna flytta vår egen data från en leverantör till en annan. Den gäller för hela EU och länderna behöver inte stifta egna lagar. Den ersätter därför den svenska Personuppgiftslagen (PUL). De företag som vet med sig att de har levt upp till PUL har ett försprång, framför de som kanske inte anpassade sig fullt ut till PUL, eftersom mycket av GDPR liknar PUL.
Filmen visar på ett kusligt – och lite komiskt – sätt hur olika tjänster samlar in data om oss.
Här nedan är några delar som kan vara bra att veta om GDPR:
- Dataportabilitet: De uppgifter som du har angett att det är OK att en organisation eller företag har sparat om dig, ska du kunna begära ut för att kunna flytta till en annan tjänst. Informationen ska kunna lämnas ut i en strukturerad och allmänt använt elektroniskt format. Man kan anta att text-filer, Excel-filer och liknande bör kunna uppfylla kravet.
- Syftet med personuppgifterna. Man får bara samla in personuppgifter om man uppger tydligt vad som är syftet med dem. Du får bara samla in precis så mycket uppgifter som behövs. Man måste alltså vara tydlig hur man tänker använda personuppgifterna när man ber om samtycke att spara uppgifterna.
- Radera uppgifterna. När personuppgifterna inte längre behövs för det syfte som man angett när man samlade in dem, ska de raderas. En enskild person kan också begära att sina uppgifter raderas – rätten att bli glömd.
- Skydda personuppgifterna. Man ska se till att de insamlade uppgifterna sparas på ett sätt som gör att de är intrångsskyddade. Du behöver också ha koll på vem som kommer åt uppgifterna.
- Personuppgifter. PUL täckte in dataregister, medan GDPR berör alla tänkbar personuppgifter – på papper, i mail, foton, etc.
- Dokumentation. Du behöver dokumentera syften med insamling, typer av insamling och olika tidsgränser.
För vem gäller GDPR Dataskyddsförordningen?
Till skillnad från PUL så gäller GDPR inte bara för den som samlar in personuppgifter utan även för dem som i andra led i verksamheten hanterar dessa uppgifter. Alltså exempelvis molnleverantören där ni sparar filer eller CRM-tjänsten där lagrar undan uppgifter på kunder och prospects.
I vilken lägen behöver man inte tänka på GDPR
Om hanteringen av personuppgifter krävs för att uppfylla ett kontrakt, så behöve man inte uppfylla GDPR. Det gör att det är inga problem att spara personuppgifter i samband med en anställning eller i samband med att man ingår ett kontrakt med en underleverantör. Men man får inte spara mer uppgifter än de man behöver. Exempelvis kräver bokföringslagen att underlag sparas i sju år så därför ska man inte radera uppgifterna när en medarbetare slutar.
Vad händer om man bryter mot GDPR-förordningen?
Oj, det är dyrt att bli bötfälld. Visserligen ska man först få varning och sedan utförs det revisioner, men därefter ligger böterna på det som är störst av 20 miljoner EUR eller 4% av din globala omsättning, dvs en omsättning på mer än 500 miljoner EUR. Puh!
Vad behöver man göra nu innan GDPR-förordningen träder i kraft 25:e maj?
Gå igenom din verksamhet med öppna ögon och undersök var ni samlar in personuppgifter och för vilket syfte och hur länge ni kommer att behöva ha dem. Bedöm om värdet av insamlingen gör det värt att begära samtycke från personerna. Kategorisera de olika användningarna ni har av personuppgifter, så blir det enklare i nästa steg att bedöma hur ni ska agera. Undersök exempelvis om personuppgifterna är insamlade för att uppfylla ett avtal, exempelvis en anställning eller som en del i ett avtal med en underleverantör.
I min nästa artikel går jag igenom vilka roller som behövs samt undantagen då förordningen tillåter behandling av personuppgifter, såsom samtycke, avtal, rättslig förpliktelse, myndighetsintresse och intresseavvägning.