EU - GDPR - General Data Protection Regulation - Dataförordningen

Vad är GDPR?

GDPR står för General Data Protection Regulation och är en EU-förordning (2016/679/EU) som träder i kraft den 25 maj 2018. På svenska kallas GDPR för Allmänna Dataförordningen. GDPR ersätter Dataskyddsdirektivet (95/46/EG) från 1995 som i svensk lagstiftning har hetat Personuppgiftslagen, förkortat PUL.

Som e-handlare är det viktigt att ha koll på GDPR eftersom förordningen påverkar hanteringen av persondata (vilket inte bara är personnummer, se mer om persondata nedan).

Varför införs GDPR?

Syftet med GDPR är att stärka EU-medborgares rätt att kontrollera hur de egna personuppgifterna används. Genom den nya förordningen kommer medborgare ha rätt att kräva att ”bli glömda” av företag. Det innebär att medborgare kommer kunna be företag radera personuppgifter (förutsatt att dessa inte behövs för att företaget ska uppfylla andra lagkrav). En förordning blir automatiskt lag i EU-länder, till skillnad från ett direktiv som är mer av rådgivande karaktär. Det tidigare Dataskyddsdirektivet utgjorde en lägstanivå för EU-länders lagstiftning kring personuppgiftshantering. Med GDPR kommer samtliga EU-länder ha samma lagstiftning, vilket är ett steg för att underlätta handel mellan EU-länder.

Vad regleras av GDPR?

GDPR reglerar data i form av exempelvis namn, hemadress, foton, e-mailadresser, bankkontouppgifter, inlägg på sociala medier, medicinsk information eller IP-adress. Det är svårt att räkna upp alla datatyper som regleras av GDPR. I korthet kan man säga att allt som går att härleda till en enskild person är att betrakta som personuppgift.

Om ett företag samlar in och/eller processar information om EU-medborgare gäller GDPR, oavsett om företaget är verksamt inom EU eller inte. Organisationer med säte i EU omfattas också av GDPR, även om de endast hanterar personuppgifter utanför EU. Alla molntjänster så som Dropbox, Google Drive och Microsoft 365 måste säkerställa att de kan hantera personuppgifter i enlighet med GDPR eftersom användarna kan använda deras tjänster för att lagra personuppgifter.

EU - GDPR - General Data Protection Regulation - Dataförordningen

Hur skiljer sig GDPR från PUL?

Rätten att bli glömd

I och med införandet av GDPR har EU-medborgare rätt att kräva att ”bli glömda”. Du kanske har hört om Googles strid med EU-domstolen? Enligt en dom från 2014 har EU-medborgare rätt att få uppgifter om sig själva borttagna från sökresultat. Tidigare har det endast gällt Googles domäner inom EU (google.fr, google.de osv) men från 2016 gäller detta öven för Google.com. Möjligheten att få sina uppgifter borttagna från sökresultaten på Google.com gäller endast om Google kan avgöra webbesökarens geografiska ort, tex via IP-adressen. Enligt tidningen IDG inkom det från 2014 till 2016 förfrågningar från drygt 10 000 svenskar som ville få bort knappt 40 000 länkar från Googles sökresultat. Av dessa godkände Google, enligt IDG, ca 40 procent. Med GDPR kommer ”rätten att bli glömd” utökas och alla företag och organisationer måste ha rutiner för att kunna uppfylla krav på att radera personuppgifter ur sina system.

Aktivt medgivande till insamling av data

Tidigare ansågs ett medgivande för insamling av personuppgifter ha givits när en person registrerade sig för en tjänst, exempelvis en nyhetsbrevsprenumeration. Det ansågs underförstått att uppgifterna som registrerades skulle användas för att skicka ut nyhetsbrev. Med införandet av GDPR måste företag kunna visa på ett aktivt medgivande till att personuppgifter samlas in, bearbetas och lagras (så kallad opt-in). När det gäller barn måste förälder eller vårdnadshavare ge sitt aktiva medgivande, och den som samlat in personuppgifterna måste kunna styrka att så har skett. Ett medgivande kan när som helst dras tillbaka enligt ”rätten att bli glömd”.

Anonymisering

En rekommendation är att företag och organisationer i möjligaste mån anonymiserar persondata. Nycklar för att låsa upp anonymisering ska enligt GDPR hållas separat från data. Den anonymiserade datan anses dock fortfarande utgöra persondata  och skall hanteras som sådan.

Dataintrång och incidenter

Den som hanterar persondata är skyldig att rapportera dataintrång till Datainspektionen inom 72 timmar, i enlighet med GDPR. Individer som kan skadas av att deras persondata har läck skall också informeras.

Sanktioner

Möjligheterna att utfärda sanktioner var begränsade med PUL. I enlighet med GDPR kan tillsynsmyndigheten utdöma en administrativ sanktionsavgift på upp till 20 miljoner euro, eller fyra procent av verksamhetens omsättning.

Flytt av data

Individer har under GDPR rätt att flytta sin persondata från ett elektroniskt datahanteringssystem till ett annat utan hinder. Detta gäller dock inte data som har anonymiserats så att den inte kan knytas till en specifik individ.

Rutiner

Hanteringen av personuppgifter måste dokumenteras. Dokumentationen ska även visa på syfte med insamling, processande och lagrande av personuppgifter, vilka kategorier av personuppgifter som omfattas samt beräknad tidsperiod för hanteringen. Dokumentationen måste finnas tillgänglig på begäran av tillsynsmyndighet.

Vilka steg bör företag ta för att uppfylla GDPR-kraven?

Det första steget är att identifiera persondata som används i organisationen. Många blir förvånade över vilken information som är att betrakta som persondata. Jag hör ofta personer som tror att persondata är samma som personnummer. Kanske för att begreppen till synes är snarlika? Personnummer är persondata, men som jag beskrev tidigare är även namn, foton och mycket annat att betrakta som persondata i lagens mening.

Nästa steg är att kartlägga hur persondata samlas in, processas och lagras. Det kan vara bra att göra ett flödesschema för att se hur persondata flyttas mellan olika system och om dessa system uppfyller GDPRs krav på hur persondata ska hanteras. I de fall det är möjligt att anonymisera persondata bör detta göras så snart som möjligt.