Detta är GDPR

Alla företag som samlar personuppgifter från EU- och EES-medborgare måste efterleva GDPR.

GDPR Personal Data Protection ERP

Den 25 maj måste du vara redo för GDPR. Foto: Colourbox

Från och med den 25 maj 2018 måste alla privata och offentliga verksamheter efterleva GDPR. Att bryta mot reglerna, som alla EU-anslutna länder måste följa, kommer att resultera i omfattande böter. Ta reda på vad GDPR kommer att innebära för din verksamhet. 

- GDPR ska harmonisera informationen om personuppgifter och datainsamling i hela Europa. Målet har varit att skydda EU-medborgarnas rätt till privatliv och ändra hur företag och organisationer ser på integritetsfrågan, säger Jan Sandtrø, advokat och partner på DLA Piper.

EU:s byråkrater och politiker har arbetat med EU:s nya persondataförordning (GDPR) sedan 2012. Förordningen ersätter det tidigare dataskyddsdirektivet från 1995.

GDPR har blivit framtvingat på grund av uppkomsten av globala it-jättar, såsom Facebook och Google, som lever på att samla in mängder av information. Dessutom dyker det ständigt upp nya tekniska möjligheter kring insamling, sammanställning och analys av data.

GDPR- Ett tydligt regelverk

EU-kommissionen lyfter fram dessa tre punkter som de viktigaste förändringarna mot dataskyddsdirektivet från 1995:

1. Den omfattar fler verksamheter

GDPR gäller för alla verksamheter i fråga om behandling av personuppgifter som rör EU- och EES-medborgare, oberoende av företagets adress eller var uppgifterna blir behandlade.

2. Det blir dyrare att bryta mot lagen

Det maximala bötesbeloppet fastställs till 20 miljoner euro eller 4 procent av koncernens globala försäljning, beroende på vilket som är störst.

3. Det kräver tydliga avtal

Medborgare får enklare och tydligare avtal att relatera till. Verksamheter kan inte längre använda långa, otydliga och komplexa villkor när man t.ex. använder en app eller tjänst. Samtycke måste ges i en förståelig och lättillgänglig form som innehåller orsaken till insamling av personlig information.

Personuppgiftbiträdessavtal
- De största förändringarna i GDPR, ur ett tekniskt perspektiv, är att integritetskraven måste införlivas i it-lösningar med så kallad Privacy by Design och att det finns strängare krav på databehandling och personuppgiftbiträdessavtal, fortsätter Sandtrø.

Vad är ett personuppgiftbiträdessavtal?
Ett personuppgiftbiträdessavtal är ett avtal som måste göras mellan ett personuppgiftsbiträde och personuppgiftsansvarig. Ett personuppgiftsbiträde är den person som bestämmer att personuppgifter måste samlas in och behandlas och hur de ska behandlas. Till exempel kommer ett företag med anställda vara personuppgiftsbiträde för uppgifter som rör de anställda, till exempel information relaterad till löner. Om verksamheten använder ett annat företag för lönebetalningar kommer de att vara personuppgiftsbiträde, eftersom de behandlar personuppgifter på uppdrag av personuppgiftsansvarig, säger Sandtrø.

Kontroll över egen data

GDPR stärker också användarnas rättigheter relaterade till insamlad data. EU-kommissionen uppmärksammar följande fem punkter som särskilt viktiga:

1. Meddelande om dataavbrott
Om uppgifter bryts upp ska kunder och handledare anmälas inom 72 timmar efter att verksamheten har varit medveten om avbrottet.

2. Tillgång till data
Medborgare har rätt att veta vilka uppgifter som samlas in och vad de används till. De har också rätt till en kostnadsfri elektronisk kopia av sina personuppgifter.

3. Rätten att bli glömd
Du har rätt att få din personliga information raderad och avbruten för vidare användning.

4. Flytt av data
Du har rätt att få data i ett enkelt format och som kan läsas av andra datorer och överlämna data till andra parter.

5. Privacy by design
Sekretess- och informationssäkerhet måste byggas in som standard i de it-system som behandlar personuppgifter.

Risk för dryga böter
Om du inte har ett personuppgiftbiträdessavtal bryter du mot GDPR, något som kan resultera i böter. Detsamma kan hända om personuppgiftbiträdessavtalet inte överensstämmer med lagen.

Ett uteblivet personuppgiftbiträdessavtal kan resultera i böter på avgiften högst 10 miljoner euro eller 2 procent av den globala årsomsättningen beroende på vilken som är högst. Om personuppgifter överförs till personuppgiftsansvarig i länder utanför EU eller EES kan böter uppgå till upp till 20 miljoner euro eller 4 procent av den globala årsomsättningen.