I denna artikel:
Del 1: Det här är gdpr och så påverkas din verksamhet
Del 2: Konsekvenser för utvecklare
Del 3: Kommuner i knipa när dataskyddsregler skärps
Del 4: Dataskyddsombud – allt om den nya yrkesrollen
Del 5: Så skiljer sig gdpr från pul
Del 6: GDPR-ordlista: de 17 viktigaste begreppen

I över 20 år har personuppgiftslagen, PUL, styrt hur och vem som får hantera personuppgifter. Nu är de dagarna över. Från och med den 25 maj 2018 är det GDPR – General data protection regulation – som slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person. För myndigheter, företag och organisationer innebär detta en hel del förändringar. 

Kan ge böter på 20 miljoner euro

Mest påtagliga har förändringarna blivit för de som inte sköter sig. Personuppgiftslagen har anklagats för att vara tandlös. Så är det inte med GDPR, eller dataskyddsförordningen som den kallas i Sverige. Om ett företag brister i sin behandling av personuppgifter kan de tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av deras globala omsättning. Den bedömningen gör i första hand tillsynsmyndigheten i varje land, för Sveriges del Datainspektionen. Men det kommer också finnas en central dataskyddstyrelse i EU som tar fram riktlinjer och fattar beslut om tolkningar.

Läs också: Molnjättar i bråk om hur GDPR ska hanteras - kunderna i kläm

Hur sanktionsavgifterna ser ut för myndigheter och den offentliga sektorn är upp till varje medlemsland att avgöra. I Sverige finns ett förslag på att de ska ligga på mellan 10 och 20 miljoner kronor. Belopp som är jämförbara för brott mot miljö- och arbetsmarknadslagar.

GDPR ger starkare rättigheter

Syftet med den nya lagstiftningen är dels att få till en harmonisering mellan EU:s medlemsstater. Dataskyddsdirektivet från 1995 utgjorde visserligen en gemensam grund inom unionen, men som direktiv var det upp till varje land att implementera regelverket och tolka det. Nu är det samma lagtext oavsett vilket EU-land man befinner sig i.

Samtidigt har det legat mycket fokus på ett ökat integritetsskydd. Medborgarnas rättigheter kommer att stärkas. Kraven på att företag och andra organisationer ska informera hur de hanterar uppgifter, vilka uppgifter och varför, stärks. Det ska också gå att under vissa omständigheter säga nej till att personuppgifterna används. Till exempel blir det lättare att slippa direktreklam.

Läs också: Mer integritet från och med nu: Det här är GDPR – och så påverkas du

I det ökade medborgarskyddet ingår också rätten att bli glömd. Alltså den chans en person har att begära att få uppgifter från exempelvis sökmotorer eller kundregister bortplockade. För det krävs att sökresultatet är oriktigt, irrelevant, eller överflödigt. 

Hantera personuppgifter: Håll koll på vilken information ni har – och varför

Störst förändring har det dock blivit för de som hanterar uppgifterna. Det är däremot bra att ha i bakhuvudet att många av de krav som dataskyddsförordningen medför redan finns i personuppgiftslagen. Till viss del är GDPR bara en uppdatering och skärpning av PUL. Men några saker är viktiga att ha med sig.

Läs också: Håll ögonen på EPR – nästa EU-smocka efter GDPR

Framför allt gäller det att ha koll på informationen. I förordningen finns något som kallas inbyggt dataskydd och dataskydd som standard vilket i korthet betyder att ni måste känna era data, och de system som hanterar informationen. Det är inte heller något som företaget kan lägga över på en it-leverantör. Varje organisation måste själva ställa sig en rad frågor, och hitta svaren. Varför har ni precis de här uppgifterna, hur samlas de in och vem har tillgång till dem? Ni bör göra en riskbedömning.

gdpr

Dataskyddsförordningen gör gällande att den personuppgiftsansvarige måste kunna visa att förordningen följs. Det kommer troligen betyda krav på ökad dokumentation. En personuppgiftsansvarig är en juridisk person, alltså inte en enskild person. Samma sak gäller om man har ett personuppgiftsbiträde.

En nyhet är däremot den nya rollen dataskyddsombud. det är en person som har särskilt ansvar för att se till att reglerna efterföljs och som bevakar dataskyddsfrågor. Införandet av en sådan befattning är obligatorisk exempelvis för de som hanterar personuppgifter i stor omfattning, som hanterar känsliga personuppgifter eller som kartlägger beteenden eller intressen.

Missbruksregeln ryker

I Sverige har vi tidigare haft en förenkling av personuppgiftslagen. Har man behandlat personuppgifter i löpande text och enklare listor har den hanteringen kunnat göras med stöd i missbruksregeln. Det har gjort det möjligt att hantera personuppgifter så länge det inte är kränkande för någon. Den regeln försvinner helt och hållet i och med den nya lagen.

Rapportera dataintrång inom 72 timmar

Dataintrång har dessvärre blivit något som företag och myndigheter måste vänja sig vid. Det gäller att göra vad man kan för att skydda sin it-miljö. Men precis som i den fysiska världen ligger inte sällan tjuven ett steg före.

Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta nu rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själva begått ett misstag. Även de vars uppgifter läckt ut måste informeras inom 72 timmar.

Tar tid att hitta GDPR-praxis

Arbetet med nya regler för dataskydd har pågått under ett flertal år. 2012 kom det första utkastet till förslag. Därefter har det vandrat genom unionens byråkratiska system, mellan utskott och beslutsfattare, mellan EU-kommissionen, de folkvalda och medlemsstaterna. 4 maj 2016 klubbades det slutgiltiga förslaget.

Det har inte varit en lätt resa, 28 medlemsländer med delvis olika syn på var ansvaret ska ligga och hur den administrativa bördan bör fördelas. Ja, till och med exakt vad som utgör en personuppgift har diskuterats.

Det kommer att ta tid innan det finns en praxis att följa. Den centrala dataskyddsstyrelsen i EU kommer ta fram tolkningar, säger Martin Brinnen, jurist på Datainspektionen. Men det kommer troligen bli ett och annat rättsfall att vänta i EU-domstolen. Tre till fyra år kan det ta innan en mer exakt bild är på plats av hur GDPR ska tolkas. Tills dess är det viktigt att följa utvecklingen, ta reda på vad som gäller och säkra de egna systemen. Datainspektionens och juristernas råd är att kontakta experterna, utbildning och ett aktivt säkerhetstänk.

Läs också: 30 miljarder skäl för it-branschen att älska EU:s nya dataskyddslag