GDPR

Varför alla pratar om GDPR, del 2: Vad innebär GDPR?

Share this post:

GDPR, General Data Protection Regulation, är en ny europeisk förordning för dataskydd som har blivit ett av de mest omtalade ämnena under 2016. I den här delen av artikelserien kommer jag att gå in lite på vad GDPR innehåller och vad lagen säger.

Vad säger lagen?

Som bekant handlar GDPR i grunden om att harmonisera regelverket och stärka rättigheterna för individer när det gäller hanteringen av personuppgifter i EU. Lagen gäller i alla EU:s 28 medlemsstater; för organisationer såväl som offentlig sektor och även för de organisationer utanför EU som erbjuder tjänster eller varor till EU. Förordningen kommer att innebära en stor utmaning för de flesta organisationer som behandlar personuppgifter.

En viktigt skillnad i och med GDPR är att definitionen av personuppgifter blivit bredare och inte längre innefattar endast personnummer, utan all information som totalt sett kan användas för att identifiera en fysisk person. Identifierare så som namn, adress, elektroniska faktorer som IP-adresser mm. är exempel på dessa men även bilder, ljud och andra medier kan räknas hit.

Hur kommer lagen att påverka oss?

För individen kommer GDPR att innebära en rad nya rättigheter, inklusive:

  • Rätten till transparent information (vi ska kunna veta hur, vilka och varför våra personuppgifter behandlas).
  • Tillgången till och möjligheten att flytta data från en organisation till en annan.
  • Rätten att få data ändrad om den kan anses felaktig (som i fallet där Google förlorade i Spanien 2014).
  • Rätten att bli glömd (att få personuppgifterna om oss borttagna när det inte finns annat lagligt stöd för en organisation att ha dem kvar).
  • Rätten till begränsad behandling (personuppgifter ska endast behandlas för det godkända syftet och generell profilering eller annan analys ska begränsas).

Därtill kommer också rättigheter som att protestera mot behandling av uppgifter som görs utifrån allmänt intresse, myndighetsutövning eller intresseavvägning. Organisationen måste i det fallet göra en ny bedömning och eventuellt sluta med behandlingen om det inte finns stöd.

Vi som individer har även rätten att driva civila rättsmål när vi anser att en organisation brutit mot kraven i GDPR. Utöver civila rättsmål så har även den utsedda myndigheten i varje land, i Sverige är detta Datainspektionen, möjlighet att utfärda böter. Där kan man maximalt utdöma 4 % av global årsomsättning eller 20 miljoner euro (där den högst siffran gäller) per fall. Just risken för böter har varit en avgörande anledning till att GDPR fått så stor uppmärksamhet och att man tagit den nya lagen på stort allvar. I maj nästa år kommer man också att presentera den utredning som gjorts för vilka lagändringar som kommer behöva ske i Sverige för att göra vår lagstiftning anpassad till GDPR.

För organisationer kommer GDPR innebära en hel del arbete utöver att bara implementera individens rättigheter. Grundtanken i lagstiftningen är att personuppgifter ska behandlas med lagligt stöd, på överenskommet sätt och i så liten mängd som möjligt. Man behöver alltså fråga sig: vad ska behandlas, hur ska det behandlas, av vem, varför och hur länge?

Vad och varför information ska behandlas regleras antingen via samtycke från personen i fråga eller när behandlingen krävs för att uppfylla avtal, rättslig förpliktelse, myndighetsutövning eller liknande. De personuppgifter man behandlar måste också överensstämma med det givna godkännandet.

En nyhet i GDPR är att man fokuserar mycket på ansvaret för vilken organisation som behandlar information. Den organisationen som samlar in information, personuppgiftsansvariga, är huvudansvarig men kan i sin tur låta andra organisationer behandla personuppgifterna, personuppgiftsbiträde, om det stämmer med tidigare nämnda regler. Där måste det finnas en skriftlig överenskommelse hur ansvaret ser ut och med information till den personen som uppgifterna berör. Reglerna i GDPR gäller personuppgifter oberoende av medium, så även information som lagras i ostrukturerat format gäller, vilket inte varit fallet tidigare.

Sist men inte minst måste organisationer som behandlar personuppgifter ha ett riskbaserat synsätt till behandlingen av personuppgifter och särskilt uppgifter av känslig karaktär som har en särställning i lagen; som religiös åskådning, sexuella preferenser med mera. I de fall sådana uppgifter ska behandlas eller det finns anledning att tro att behandlingen kan vara riskabel så måste den ansvariga organisationen göra en riskanalys, en så kallad Data Protection Impact Assessment. Säkra system och rutiner blir också viktigt och organisationerna måste kunna uppvisa hur de hanterar personuppgifter på ett säkert sätt och föra register över vad de gör. I de fall ett intrång eller läcka av personuppgifter upptäcks måste detta också rapporteras till Datainspektionen inom 72 timmar utom i vissa undantagsfall (om uppgifterna varit krypterade eller på annat sätt anonyma). Ofta måste organisationerna utse ett personuppgiftsombud för att på så sätt ha en person som är huvudansvarig för att organisationen uppfyller GDPR.

Generellt innebär det här att organisationer måste ha ett transparent arbetssätt och kunna dokumentera och visa att de följer lagstiftningen. Just skyldigheten att informera är starkare än i det gamla EU-direktivet från 1995 som PUL bygger på. Idag utbyts och analyseras information i stor mängd mellan privata såväl som offentliga aktörer. Att kunna dokumentera och visa hur man behandlar information och varför blir därför en viktig del i att leva upp till GDPR. Arbetar man dessutom internationellt och har tillgång till eller skickar personuppgifter mellan länder så gäller också särskilda bestämmelser.

Kort sagt finns mycket att ta hänsyn till och frågan blir därför: hur kommer GDPR påverka min organisation och vad kan jag göra?

Den frågan kommer jag att försöka svara på i nästa del av min blogpostserie!

/Marcus

Följ mig gärna på LinkedIn – Marcus Hallberg

Läs andra delar av serien ”Varför alla pratar om GDPR”:

GDPR: Nedräkningen har startat
2018 utgör startskottet på en standardisering av datasekretesskrav som påverkar alla som innehar eller använder personuppgifter om EU-ländernas medborgare, både inom och utanför Europa. För att uppfylla GDPR-kraven måste säkerhetsluckor utvärderas och korrigeras redan nu. Är du beredd?

 

More stories

Incidenthantering för säkerhet och regulatoriska krav – del 1

Den ökande mängden IT-säkerhetshot och regulatoriska krav på senare tid har tydliggjort vikten av att ha en fungerande incidenthanteringsprocess i alla typer av organisationer. Medan många hittills fokuserat på preventiva åtgärder och detektering av säkerhetsintrång lyfter allt fler organisationer fram just incidenthantering som ett område att förbättra och förstärka. I två blogginlägg kommer jag att […]

Läs mer

PSD2: du sköna nya öppna API-värld – eller storbankernas bästa gränskontroll?

Nästa år införs en ny reglering på marknaden för betaltjänster. Vad kan vi förvänta oss av den? Öppna APIer ger ökad flexibilitet men också ökad risk Vi ser en ny ”öppen” ekonomi utvecklas framför våra ögon, med fler och mer komplexa uppkopplingar (såväl tekniska som relationsmässiga). Den eskalerande mängden data genererar både möjligheter till bättre […]

Läs mer

GDPR – Watson jobbar på det!

Just nu sitter många verksamheter och sliter sitt hår med anpassningen till den nya persondataregleringen, GDPR. Men, för bank- och finanssektorn tar det inte slut där. Bara under 2015 ställdes över 20 0001 nya regulatoriska krav upp, som påverkar branschen. Prognosen pekar mot att samtliga regulatoriska krav kommer att uppgå till över 300 miljoner sidor år […]

Läs mer