GDPR

Om dryga månaden, den 25 maj, träder GDPR i kraft. En ny övergripande lag som alla företag som hanterar personuppgifter bör ha koll på.

Skall noteras att detta inte på något vis bör ses som någon juridisk rådgivning, behöver du hjälp med att tolka och implementera system för att följa direktiven i GDPR bör du ta kontakt med en jurist.

Vad är GDPR?

GDPR – General Data Protection Regulation – är en ny personuppgiftslag som ersätter de lagarna som idag finns i de individuella EU-länderna (alltså då bl.a. PuL i Sverige). Främst för att ge medborgare större rättigheter och kontroll över sin egen data men även för att ha ett regelverk och riktlinjer för de företagen som faktiskt hanterar datan i fråga.

Det unika med GDPR är att lagarna gäller alla företag som hanterar EU-medborgares personuppgifter och inte endast företag inom EU, detta gör att GDPR omfattar delar som det tidigare planerade "International Safe Harbor Privacy Principles" samt "EU-US Privacy Shield" var tänkt att hantera.

GDPR i korthet

GDPR definierar två olika typer av personuppgiftsbehandlare; controller och processor. En controller är det företaget eller aktören som faktiskt samlar in och bearbetar den personliga datan, medan processor är den som på controllerns uppdrag på något vis hanterar personuppgifter.

Ett exempel är t.ex. Apple en controller, medan AWS som hyr ut servrar och datautrymme som lagrar datan en processor.

Det är alltid controllerns ansvar att processorn uppfyller kraven för GDPR (eller i alla fall välja en processor som efterföljer GDPR). De flesta stora aktörerna som kan ses som en processor har idag färdiga kontrakt, en så kallad DPA (Data Processing Addendum) att tillgå för att ingå i avtal som täcker kraven för GDPR när man lägger ut data på dem.

De svenska termerna stöter man på relativt sällan, men GDPR skrivs oftast som "dataskyddsförordningen", controller som "personuppgiftsansvarig" och processor som "personuppgiftsbiträde". Jag har valt att använda de engelska termerna då det oftast är dem jag jobbar med.

Krav på företag – controllers och processors

Kraven är många, men de grundläggande bitarna bör redan vara på plats för de flesta ansvarsfulla företagen som tar skyddandet av sina kunders data på allvar.

Orsak och anledning
När man samlar in datan så ska det alltid finnas en bakomliggande orsak till varför datan behövs. T.ex. så kan man/bör man inte samla in personnummer "för att det är bra att ha". Det finns dock vissa få undantag då vissa lagar kolliderar.

Samtycke
En stor ändring är att explicit samtycke till datalagring är nödvändigt; inte längre kan man gömma samtycket i långa användarvillkor eller ha "opt-out" som standard. Inte heller så kan man dela personuppgifter med tredje part utan ett direkt samtycke. Man skall även ange vad datan kommer att användas till samt hur lång tid den sparas.

Ansvar
Företag har i GDPR mycket större ansvar för att förvalta datan på ett regelrätt och säkert sätt. Bl.a. så bör också system för användarnas integritet finnas inbyggda i plattformarna och systemen.

Meddelandeskyldighet
Om ett företag råkar ut för stöld av data genom t.ex. ett dataintrång så har de skyldighet att inom 72 timmar meddela både kunder vars data som blev stulna och myndigheter om det inträffade.

Dessutom så har företaget inom skälig tid skyldighet att upprätthålla kundernas digitala rättigheter (se nedanför).

Givetvis finns det en rad andra detaljer bl.a. för större företag (där man måste ha en ansvarig för datasäkerhet) – vänligen läs mer detaljerade artiklar om detta.

Digitala rättigheter för slutkunder och användare

Detta är riktigt intressant och viktigt. Redan tidigare i PuL hade vi möjlighet att få ut data från företag, men detta efterlevdes sällan och de gångerna jag själv har försökt få ut data har jag i princip aldrig fått ut all information som företaget har på mig.

Men nu i.o.m. de nya lagarna så bör fler företag ha system för detta på plats – flera företag har redan i sjösatt strömlinjeformade flöden för kunder att begära datautdrag.

När GDPR diskuteras så är det oftast just de digitala rättigheterna som nämns. Med dessa så innebär det:

Rätten till åtkomst
En slutkund och användare har rätten att begära ut all sin information som företaget lagrar om en själv.

Rätten till flyttbarhet
En slutkund och användare har rätten att få sin data förflyttad till en annan controller (tänk t.ex. vid byte av ett telefonabonnemang).

Rätten att bli glömd (eller "rätten till raderingen")
En slutkund och användare har rätten att begära att all ens information förstörs.

Om GDPR inte efterföljs

Inskrivet i lagen finns även straffen för att GDPR inte efterföljs – och de är tuffa. Upp till 4% av de globala inkomsterna alternativt €20 miljoner (det som är högst) beroende på vilka paragrafer som inte följs och hur grova överträdelserna är.

Vi kan nog dock förvänta oss att det kommer ta lång tid domstolarna sätter prejudikat för straffen för överträdelser. Gissningsvis är det även främst de stora aktörerna som kommer att granskas hårdast initialt.

Hur jag jobbar med GDPR

Även som en frilansande webbutvecklare med en liten firma är det för mig viktigt att efterfölja GDPR och skydda personuppgifter för både kunder och användare. Här kan du läsa om hur jag jobbar med GDPR. Har du några frågor är du alltid välkommen till att kontakta mig.

Läs mer

Ett par bra resurser där man kan läsa vidare om GDPR och få tips om vad som bör göras/åtgärdas innan den 25:e maj.

• The GDPR Checklist
• Pedro Sá och WATTX artikel om GDPR
• GDPR-guiden för småföretagare på verksamt.se
• EUGDPR.org
• GDPR på Wikipedia

Uppdaterad 2018-04-18
Lade till en summering av de svenska termerna.