GDPR – Allt du behöver veta om GDPR
GDPR och dataskyddsförordningen – Vad innebär GDPR i praktiken?
Den allmänna dataskyddsförordningen (GDPR) som trädde i kraft i maj 2018 innebär att det nu finns gemensamma dataskyddsregler för alla företag och organisationer som är verksamma i EU, oavsett var de har sitt ursprungliga säte.
De skärpta dataskyddsreglerna betyder att:
- privatpersoner numera har större kontroll över sina personuppgifter och bättre kan skydda sin integritet
- företagen kan verka och hantera persondata på rättvisa villkor
- Verksamhet mellan länder inom EU går nu under samma regler och ansvar
Vad GDPR betyder och vad GDPR lagen innebär
Vad är GDPR och vad står GDPR för egentligen? GDPR står för General Data Protection Regulation och är namnet på den nya dataskyddsförordningen som vi kallar det på svenska. Den 25 maj 2018 trädde den nya lagen om personuppgifter (GDPR) i kraft. Denna förordning är gemensam för EU vilket innebär att de skillnader som tidigare funnits mellan länderna har mer eller mindre försvunnit helt. Nu gäller alltså samma spelregler för alla företag och verksamheter runt om i EU.
Om man behandlar “GDPR-känslig” information vilket innebär uppgifter som gör att det går att identifiera en fysisk person inom EU, har man skyldighet att göra det i enlighet med GDPR. Det här gäller framförallt företag, organisationer, myndigheter och andra offentliga organ. Från den dagen som dataskyddsförordningen trädde i kraft gäller GDPR alltid vid behandlingen av personuppgifter.
Vad innebär GDPR i korthet?
GDPR är en EU-förordning som handlar om hantering av personuppgifter. GDPR i korthet innebär att man som företag inte får använda folks personuppgifter hur som helst utan samtycke från personen i fråga.
Vad innebär GDPR för privatpersoner?
Dataskyddsförordningen, GDPR, stärker dina rättigheter som privatperson och medborgare. Som privatperson har du rätt att veta vilka personuppgifter om dig som ett företag eller en organisation har samlat in. Du har även rätt att korrigera felaktiga personuppgifter om dig och i vissa fall även rätt att få dina uppgifter raderade.
Dataskyddsförordningen och GDPR bakgrund
Varför lagstiftades dataskyddsförordningen (GDPR)? Jo, syftet med att införa GDPR handlade om att man ville harmonisera lagar om integritetsskydd i hela Europa. Främst för att skydda och ge alla EU:s medborgare högre datasäkerhet. Det har även inneburit att man på en strategisk nivå fått omforma hur organisationer får behandla persondata.
GDPR kan kännas krångligt, stort och i vissa fall skrämmande, främst för att konsekvenserna om man bryter mot GDPR kan vara förödande för företag. Rädslan att göra fel har resulterat i att många företag, framförallt retail butiker inte vågar registrera kunders medlemskap, vilket såklart påverkar deras kundbas tillväxt. Men faktum är att GDPR är avsedd för att förenkla hanteringen av de europeiska lagarna och det gynnar framförallt företag som är verksamma internationellt.
Vad innebär GDPR i praktiken?
Dataskyddsförordningen GDPR har en grundstomme som bygger på 7 principer och man får endast behandla personuppgifter om man uppfyller kraven som lagen ställer:
- Du får endast samla in personuppgifter för ett angivet och specifikt syfte.
- Du får endast samla in personuppgifter som är nödvändiga för att uppfylla syftet.
- Hanterar du personuppgifter måste du hålla dem korrekta och uppdaterade.
- När syftet är uppnått ska personuppgifterna raderas.
- Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.
- Du ska kunna bevisa att du uppfyller samtliga krav och hur detta sker.
Hur länge får man behålla data om en kund?
Vad innebär rätten om att bli glömd? Enligt vår dataskyddsförordning och IMY, får man spara personuppgifter så länge som de behövs för det specifika ändamålet med personuppgiftsbehandlingen. När personuppgifterna sedan inte längre behövs för ändamålet ska ni radera eller avidentifiera dem snarast.
Rätten att bli glömd innebär att oavsett om en kund gett sitt samtycke om att du får hantera dess personuppgifter så har personen också rätt att återkalla sitt samtycke. Det innebär att man som privatperson har rätt att vända sig till ett företag, myndighet eller den som behandlar ens personuppgifter och be om att få sina uppgifter raderade.
I vilka fall är GDPR tillämpbar?
I det stora hela så är alla former av åtgärder med personuppgifter en personuppgiftsbehandling. Det gäller exempelvis vid insamling, organisering, registrering, strukturering, lagring, bearbetning, läsning, användning, framtagning, spridning eller att de på något annat sätt tillhandahålls, justering, sammanförande, begränsning, förstöring eller radering av personuppgifter.
GDPR:s tillämpningsområde brukar delas in i två aspekter: det materiella tillämpningsområdet och det territoriella (geografiska) tillämpningsområdet. Det krävs att en behandling omfattas av både det materiella och det geografiska tillämpningsområdet för att den ska omfattas av GDPR samt att det inte föreligger något typ av undantag som säger att behandlingen inte ska omfattas av GDPR i det fallet.
Vem är kontrollorgan för GDPR i Sverige?
IMY (integritetsmyndigehten) är Sveriges nationella tillsynsmyndighet för behandling av personuppgifter. De arbetar för att skydda personuppgifter och ser till att de hanteras korrekt och inte hamnar i fel händer. Om du tycker att någon behandlar personuppgifter om dig på ett sätt som strider mot dataskyddsförordningen (GDPR) kan du lämna in ett klagomål till dem.
GDPR cookies och consent
Cookies är ett viktigt och mycket effektivt verktyg som kan ge företag och marknadsförare en hel del insikt i deras användares onlineaktivitet. Eftersom de flesta cookies samlar in och behandlar användarnas personuppgifter, omfattas även de av reglerna för samtycke i enlighet med GDPR. Vill du läsa mer om GDPR cookie consent och vad cookies är så kan du göra det här.
Reglerna för cookies är uppdelade mellan GDPR och ePrivacy-direktivet (den europeiska cookielagen). Enligt ePrivaqcy-direktivet måste du inhämta samtycke från dina användare för att lagligt kunna använda cookies, alltså för att placera cookies på deras enheter. Det här är även skälet till varför det dyker upp pop-up meddelanden när man kommer in på nya sidor som talar om att dem använder cookies och att man måste ge sitt samtycke till det.
GDPR sammanfattning
För att knyta ihop säcken kommer vi här summera de viktigaste punkterna sedan dataskyddsförordningen GDPR trädde i kraft i form av en GDPR sammanfattning:
- Vad är GDPR? GDPR är en EU-lag med obligatoriska regler för hur organisationer och företag får använda personuppgifter på ett integritetsvänligt sätt. Idag gäller samma spelregler för alla företag och verksamheter verksamma inom EU.
- Varför behövs GDPR? GDPR är utformad för att skydda medborgare och privatpersoners integritet och är en uppgradering av EU:s tidigare dataskyddsdirektiv.
- De viktigaste praktiska: Sammanfattningsvis så är innebörden av GDPR att lagen fastställer skyldigheter för företag och ger rättigheter för medborgare. Det är därför klokt att som företag etablera och hålla sitt program för dataskydd uppdaterat. Vill du säkerställa att ni följer reglerna till punkt och pricka kan du bocka av denna GDPR checklista.