Vad är GDPR?

GDPR står för General Data Protection Regulation, och är EU:s dataskyddsförordning. På svenska kallas den ofta bara ”dataskyddsförordningen”. GDPR trädde i kraft den 25 maj 2018, och ersatte den tidigare personuppgiftslagen (PUL) i Sverige och motsvarande lagar i andra EU-länder. Syftet med GDPR är att stärka skyddet för enskilda personers personuppgifter och att skapa en enhetlig lagstiftning inom EU.

Vad är personuppgifter?

Personuppgifter är all information som direkt eller indirekt kan kopplas till en levande, fysisk person. Det kan vara uppenbara saker som namn, personnummer, adress och e-postadress, men också mindre uppenbara saker som IP-adresser, bilder, ljudupptagningar, registreringsnummer på bilar, kundnummer, och till och med åsikter och värderingar som kan kopplas till en person.

GDPR:s grundprinciper

GDPR bygger på några grundläggande principer som alla företag måste följa när de hanterar personuppgifter:

  • Laglighet, korrekthet och öppenhet: Personuppgifter får bara behandlas om det finns en laglig grund för det (t.ex. samtycke, avtal, lagkrav), de ska vara korrekta, och de registrerade ska informeras om hur deras uppgifter behandlas på ett tydligt och öppet sätt.
  • Ändamålsbegränsning: Personuppgifter får bara samlas in för specifika, uttryckligt angivna och berättigade ändamål, och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
  • Uppgiftsminimering: Man får bara samla in och behandla de personuppgifter som är nödvändiga för ändamålet. Man ska inte samla in mer data än vad som behövs.
  • Lagringsminimering: Personuppgifter får inte lagras längre än vad som är nödvändigt för ändamålen. När uppgifterna inte längre behövs ska de raderas eller avidentifieras.
  • Integritet och konfidentialitet: Personuppgifter ska behandlas på ett säkert sätt, så att de skyddas mot obehörig åtkomst, förlust, förstörelse eller annan otillåten behandling.
  • Ansvarsskyldighet: Den som behandlar personuppgifter (personuppgiftsansvarig) är ansvarig för att GDPR följs, och ska kunna visa att man följer reglerna.

Viktiga begrepp i GDPR

  • Personuppgiftsansvarig: Den organisation (företag, myndighet, etc.) som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Det är den personuppgiftsansvarige som har huvudansvaret för att GDPR följs.
  • Personuppgiftsbiträde: En organisation som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Till exempel kan ett företag som sköter löneadministration vara personuppgiftsbiträde åt ett annat företag.
  • Registrerad: Den person vars personuppgifter behandlas.
  • Behandling: Allt man gör med personuppgifter, t.ex. insamling, lagring, bearbetning, utlämnande, radering.
  • Samtycke: Ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerade att dennes personuppgifter får behandlas. Samtycke är en av flera möjliga lagliga grunder för behandling.
  • Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.

Vad kräver GDPR av företag?

  • Ha en laglig grund för behandlingen: Du måste kunna visa att du har rätt att behandla de personuppgifter du hanterar.
  • Informera de registrerade: Du måste informera de registrerade om vilka uppgifter du behandlar, varför du gör det, hur länge du sparar dem, och vilka rättigheter de har. Denna information ska vara lättillgänglig, tydlig och begriplig.
  • Säkerställa dataskydd: Du måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot obehörig åtkomst, förlust, förstörelse och annan otillåten behandling.
  • Hantera de registrerades rättigheter: Du måste kunna tillgodose de registrerades rättigheter, t.ex. rätten att få tillgång till sina uppgifter, rätten att få felaktiga uppgifter rättade, rätten att få sina uppgifter raderade (”rätten att bli bortglömd”), och rätten att invända mot behandling.
  • Dokumentera efterlevnaden: Du måste kunna visa att du följer GDPR. Detta kan göras genom att dokumentera dina rutiner, policyer och processer för personuppgiftsbehandling.
  • Anmäla personuppgiftsincidenter: Om det inträffar en personuppgiftsincident (t.ex. ett dataintrång eller en oavsiktlig förlust av data) måste du i vissa fall anmäla detta till Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen) inom 72 timmar.
  • Utses ett dataskyddsombud (DPO): Vissa organisationer måste utse ett dataskyddsombud, en person som har till uppgift att övervaka efterlevnaden av GDPR och att vara kontaktperson för dataskyddsfrågor.
  • Föra register: Personuppgiftsansvariga och personuppgiftsbiträden måste föra register över sin personuppgiftsbehandling (enligt artikel 30).

GDPR och affärssystem/CRM

Eftersom affärssystem och CRM-system ofta innehåller stora mängder personuppgifter, är det särskilt viktigt att dessa system hanteras i enlighet med GDPR. Det handlar bland annat om att:

  • Välja system som har inbyggda funktioner för dataskydd och GDPR-efterlevnad.
  • Konfigurera systemen på ett säkert sätt, med lämpliga behörighetsinställningar och åtkomstkontroller.
  • Ha tydliga rutiner för hur personuppgifter ska hanteras i systemen.
  • Regelbundet se över och uppdatera systemen och rutinerna.

Vanliga frågor och svar (FAQ)

Vad händer om man bryter mot GDPR?

Om man bryter mot GDPR kan man få betala höga sanktionsavgifter (böter). Avgifterna kan uppgå till 20 miljoner euro, eller 4% av företagets globala årsomsättning, beroende på vilket belopp som är högst. Man kan också drabbas av skadeståndskrav från enskilda personer, och få sitt rykte skadat.

Gäller GDPR bara för stora företag?

Nej, GDPR gäller för alla organisationer som behandlar personuppgifter, oavsett storlek – företag, myndigheter, föreningar, och till och med enskilda näringsidkare. Det finns vissa undantag för mycket små företag (färre än 250 anställda) när det gäller dokumentationskrav, men de grundläggande principerna gäller alltid.

Vad är ett dataskyddsombud (DPO)?

Ett dataskyddsombud (Data Protection Officer, DPO) är en person som har till uppgift att övervaka att GDPR följs inom en organisation, och att vara kontaktperson för dataskyddsfrågor. Vissa organisationer måste ha ett dataskyddsombud, t.ex. offentliga myndigheter och företag vars kärnverksamhet innebär storskalig och regelbunden behandling av känsliga personuppgifter. Även andra organisationer kan utse ett dataskyddsombud frivilligt.

Vart vänder jag mig om jag har frågor om GDPR?

Om du har frågor om GDPR kan du vända dig till Integritetsskyddsmyndigheten (IMY), som är den svenska tillsynsmyndigheten för dataskydd. På deras webbplats (www.imy.se) finns mycket information och vägledning om GDPR. Du kan också kontakta en jurist eller konsult som är specialiserad på dataskyddsfrågor.

KONTAKTA OSS FÖR DEMO

Vill du veta mer om GDPR och hur det påverkar ditt företag? Kontakta oss på Genesis, eller läs vidare i vårt ordförråd!