GDPR
GDPR i korthet
När?
Den 25 maj 2018 börjar dataskyddsförordningen (GDPR, General Data Protection Regulation) tillämpas inom hela EU. Då måste företag, offentliga myndigheter och organisationer som behandlar personuppgifter följa den nya förordningen.
Varför?
GDPR syftar till att stärka och harmonisera dataskyddet för medborgare inom EU. Den primära målsättningen med GDPR är att ge individen bättre kontroll över sina personuppgifter och att förenkla lagstiftningen för internationella företag genom att samordna lagstiftningen inom EU.
Vem?
GDPR omfattar alla organisationer världen över som behandlar personuppgifterför EU-medborgare.
”Personuppgifter” innebär all information relaterad till en identifierad eller identifierbar fysisk levande person. Det omfattar bland annat genetisk, mental, kulturell, ekonomisk eller social information.
”Känsliga personuppgifter” är personuppgifter om exempelvis etniskt ursprung, politisk åskådning, religiös eller filosofisk övertygelse, medlemskap i fackliga organisationer, information om hälsa eller sexliv och sexuell läggning, samt genetiska eller biometriska data.
Vad?
GDPR ålägger organisationer att skydda personuppgifter genom organisatoriska, administrativa och tekniska åtgärder, och att tillhandahålla dokumentation för detta skydd.
För att följa förordningen måste organisationer som behandlar personuppgifter om individer alltid ha en legal grund för att hanteringen. GDPR ställer också stränga krav på transparens.Enskilda individer har bland annat rätt att:
- Få information om behandlingen av personuppgifter
- Få tillgång till den information som behandlas
- Få felaktigheter korrigerade
- Bli bortglömda – rätten att bli bortglömd innebär att individer kan begära att deras personuppgifter raderas. Denna rättighet gäller dock inte all data och inte för alla ändamål.
- Rätt till dataportabilitet. Rätten till dataportabilitet innebär att organisationer som använder personuppgifter på begäran från berörda individer överför uppgifter till andra organisationer. Det är dock viktigt att förstå att denna rättighet inte heller gäller all data och alla ändamål.
- Individer kan i vissa fall invända mot att personuppgifter om dem behandlas.
Enligt GDPR måste ett sekretessmeddelande innehålla följande:
– Identiteten hos och kontaktuppgifter till den personuppgiftsansvarige (eller en representant).
– Information om i vilket syfte uppgifterna samlas in och behandlas.
– Den legala grunden som företaget baserar sin behandling av uppgifterna på
– Mottagarna eller kategorierna av mottagare av informationen om den distribueras vidare.
– Tidsperioden under vilken personuppgifterna kommer att lagras.
– De olika lagstadgade rättigheter som individerna har.
– Rätten att lämna klagomål till en dataskyddsmyndighet och kontaktuppgifterna till denna myndighet.
– Om personuppgifterna kommer att överföras till ett tredje land, dvs. utanför EU eller EES.
– Källan till uppgifterna (när de samlas in från tredje part).
Den information som en organisation lämnar i dataskyddspolicyn gällande behandling av personuppgifter måste vara:
– Koncis, transparent, förståelig och lättillgänglig.
– Skriven på ett tydligt och enkelt språk, i synnerhet om den riktar sig till ett barn.
Att vara transparent och lämna information till individer om hur deras personuppgifter används är ett bärande grundvillkor i GDPR, oavsett hur personuppgifterna inhämtas och behandlas. Organisationer är skyldiga att informera individer om deras rättigheter. Informationskravet gäller inte om det skulle innebära oproportionerlig ansträngning för den behandlande organisationen.
Organisationer är i vissa fall skyldiga att utse ett dataskyddsombud (DPO, Data Protection Officer). Dataskyddsombudet agerar som en förlängning av tillsynsmyndigheten för att säkerställa att processer, aktiviteter och system följer lagen i sin utformning.
GDPR kräver att organisationer som använder personuppgifter utför så kallade ”konsekvensbedömningar avseende dataskydd” (Data Privacy Impact Assessments, DPIA) om det finns en hög risk för fysiska personers rättigheter och friheter. Innan företag kan påbörja projekt som involverar behandling av personuppgifter måste de utföra dessa DPIAs och involvera sitt dataskyddsombud för att säkerställa efterlevnad under hela projektet.
GDPR kräver att organisationer informerar den nationella dataskyddsmyndigheten om dataintrång eller andra allvarliga incidenter inom 72 timmar efter det att organisationen upptäckt eller blivit medveten om incidenten. Det är viktigt att organisationer har teknik och processer för att upptäcka och reagera på incidenter.
GDPR utökar även ansvarsskyldigheten till personuppgiftsbiträden. Alla organisationer som tillhandahåller databehandlingstjänster till personuppgiftsansvariga, inklusive tjänsteleverantörer som arbetar med personuppgifter, måste följa tillämpliga föreskrifter i GDPR.
Dataskydd måste ingå i system och processer som en inbyggd funktion. Programvara, system och processer måste vara utformade i enlighet med dataskyddsförordningen. Av organisationer krävs att de, som standard, endast behandlar den minimala mängd personuppgifter som är nödvändig.
GDPR inför en ansvarig tillsynsmyndighet för organisationer som har verksamhet i flera länder vilket innebär att organisationer bara behöver kommunicera med en enda tillsynsmyndighet inom EU. Detta är enklare och billigare för organisationerna och innebär att EU-medborgare kan kontakta valfri tillsynsmyndighet för att lämna klagomål. Myndigheterna skall samarbeta i den här typen av frågor.
Organisationer som inte följer GDPR riskerar böter upp till 4 procent av sin globala årsomsättning, alternativt 20 miljoner euro, beroende på vilket belopp som är högst.