Dataskyddsförordningen (GDPR) reglerar hur myndigheter, privata företag, föreningar och andra verksamheter ska hantera personuppgifter.
Till GDPR räknas personuppgifter som i någon form kan kopplas till en person. Några exempel är foton, mailadress, bankuppgifter, inlägg på sociala medier, datorns IP-adress, medicinsk information och platsinformation.
Vad är GDPR?
GDPR står för General Data Protection Regulation och är en förordning inom EU som trädde i kraft den 25 maj 2018. Den är utformad för att stärka dataskyddet för alla individer inom Europeiska unionen. GDPR ersatte dess föregångare, Dataskyddsdirektivet och är mer omfattande. Den nya förordningen påverkar fler företag och ställer krav på integritet och säker hantering av personuppgifter.
Grundprinciperna
GDPR baseras på flera grundprinciper som styr hur personuppgifter ska hanteras. Dessa principer säkerställer att behandling av personuppgifter sker på ett ansvarsfullt sätt. De mest centrala principerna är:
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsbegränsning
- Integritet och konfidentialitet
Som med många lagar är det svårt att efterfölja dem utan juridiska kunskaper. Många företag och organisationer tar därför in en GDPR konsult som hjälper till med rådgivning och se till att organsitaitonen blir GDPR compliant.
Rättigheter för privatpersoner
Som privatperson får man en större äganderätt över sina personuppggifter med GDPR. Alla har själv rätt att bestämma över vilken information som får lagras, användas, till vad den får användas till och mycket mer. Dessutom har man rätt att begära ut information om vilka uppgifter som lagras, ändra sitt medgivande och kräva att information raderas.
Några rättigheter du kan nyttja är:
- Begära ut vilken information som lagras
- Kräva att personuppgifter raderas
- Ändra ditt medgivande till lagring av uppgfiter
De ovanstående punkterna är en liten del av vad som omfattas av GDPR. När du begär ut information är ett ytterligare krav på företagen att informationen ska vara begriplig och tydlig. Du kan även kräva information på hur organisationen skyddar dina personuppgfiter.
Skyldigheter för organisationer
Organisationer som hanterar personuppgifter har flera skyldigheter enligt GDPR. Dessa skyldigheter syftar till att säkerställa att personuppgifter hanteras på ett ansvarsfullt och säkert sätt:
- Uppgiftsregister
- Informationssäkerhet
- Dataskyddsombud
- Konsekvensbedömning
- Anmälningsplikt vid personuppgiftsincidenter
Genom att uppfylla dessa skyldigheter kan organisationer minimera riskerna för dataintrång och skydda individers personuppgifter på ett effektivt sätt.
Vad händer om man inte följer GDPR
Att inte följa GDPR kan få allvarliga konsekvenser för organisationer. Det kan vara i form av ekonomiska straff men det kan också ge ett varumärke en negativ känsla från kunderna.
Böter och rättsliga påföljder
Organisationer som bryter mot GDPR kan drabbas av kraftiga böter. Dessa kan uppgå till 20 miljoner euro eller 4 % av den globala omsättningen, beroende på vilket belopp som är högst. Dessutom kan rättsliga påföljder inkludera skadestånd till drabbade individer.
Påverkar företagets rykte negativt
Förutom ekonomiska sanktioner kan bristande efterlevnad av GDPR skada företagets rykte. En personuppgiftsincident som inte hanteras korrekt kan leda till förlorat förtroende från kunder och partners.
Exempel på företag som inte följt dataskyddsförordningen
I Sverige är det Integritetsskyddsmyndigheten (IMY) som ser till att GDPR efterlevs. När någon misstänker felaktig hantering av personuppgifter och anmäler det till IMY utför myndigheten en tillsyn. Under tillsynen tas beslut på om en organsiation ska straffas. Vad straffet blir faststlås också.
Ett exempel är många företag som har tvingats att sluta använda det digitala statistikverktyget Google Analytics. Företagen Coop, CDON och Dagens industri är några av dem. Vissa av företagen ska också betala en sanktionsavgift.
Bli GDPR compliant
För att säkerställa att din organisation följer GDPR, bör du följa dessa steg:
- Utbilda och skapa medvetenhet: Informera och utbilda alla medarbetare om GDPR och dess betydelse för deras arbetsuppgifter. Vid förändirngar eller utökningar av GDPR bör personalen informeras och utbildas. Ett bra sätt att göra det är att hålla workshops för möten med information.
- Granska och uppdatera policys: Genomför en omfattande genomgång av befintliga dataskyddspolicys. Uppdatera och anpassa dessa policys så att de följer GDPR-kraven. Säkerställ att alla medarbetare är medvetna om och följer de uppdaterade policys.
- Genomför konsekvensbedömningar: Identifiera och bedöm alla processer som involverar behandling av personuppgifter. Utför regelbundna konsekvensbedömningar (Data Protection Impact Assessments, DPIAs) för att identifiera och hantera risker.
- Implementera säkerhetsteknik: Använd lämpliga tekniska lösningar för att skydda personuppgifter, såsom kryptering och pseudonymisering. Säkerställ att dina system och processer är skyddade mot obehörig åtkomst, förlust eller stöld av personuppgifter.
- Uppgiftsregister: Upprätta och underhåll ett detaljerat register över alla behandlingar av personuppgifter som din organisation utför. Dokumentera vilka uppgifter som behandlas, syftet med behandlingen, samt hur uppgifterna samlas in, lagras och skyddas.
- Utnämn ett dataskyddsombud: Om din organisation behandlar stora mängder personuppgifter eller känsliga uppgifter, överväg att utnämna ett dataskyddsombud (DSO). Dataskyddsombudet ansvarar för att organisationen lever upp till de standarder som är satta för GDPR.
- Anmälningsplikt vid personuppgiftsincidenter: Utveckla en tydlig och effektiv rutin för att hantera personuppgiftsincidenter. Anmäl alla incidenter till tillsynsmyndigheten inom 72 timmar, och informera berörda individer om deras personuppgifter har äventyrats.