Vad är GDPR och hur påverkar Dataskyddsförordningen verksamheten?

Dataskyddsförordningen GDPR började gälla den 25 maj 2018 i alla länder och deras organisationer inom själva unionen, i alla 28 medlemsstater. Den gäller även för alla organisationer utanför unionen som har data på EU-medborgare, oavsett var organisationen har sitt säte.

Varför finns GDPR?

Syftet med förordningen är att skydda persondata för EU-medborgare. GDPR innebär även utökade rättigheter för alla EU-medborgare såsom rätten till tydlig information, att ändra felaktiga uppgifter, att få sin data flyttad eller rätten att bli ”glömd”, att få sin data borttagen och rätten att avsluta sitt avtal med en organisation. Detta kan ställa krav på nya rutiner inom organisationer. Förordningen kommer att innebära ett förstärkt arbete över hela organisationen när det gäller säkerhet och att uppfylla skyldigheterna när det gäller data och rättigheter.

Vad menas med persondata i det här fallet?

Förordningen definierar persondata som all data som sammantaget kan användas för att identifiera en fysisk person. Persondata är därför inte bara personnummer utan kan även vara bilder, adresser eller tekniska identifierare som IP-adress.

Vad händer om man bryter mot lagen?

Påföljderna om man bryter mot förordningen kan bli stora. Det högsta bötesbeloppet ligger på fyra procent av företagets årsomsättning eller 20 miljoner euro, där det belopp av de två som är högst gäller. Blir man som företag eller organisation utsatt för ett intrång som kan innebära en risk för ägarna av personuppgifterna så måste man inom 72 timmar underrätta Datainspektionen om vad som har hänt. Om läckan är allvarlig och kan innebära en hög risk för den personliga integriteten för den eller de drabbade så måste även dessa informeras.

Innebär detta något mer för företagen?

Myndigheter och företag som har som kärnverksamhet att övervaka och monitorera personer eller att behandla stora mängder känsliga personuppgifter måste ha en Data Protection Officer, DPO, som ska rapportera till den högsta ledningsnivån. Det ställer stora krav på både teknisk kompetens och processförståelse eftersom DPO:n ska säkerställa att lagen efterföljs och data klassificeras på rätt sätt. Därför väljer en del företag som inte har skyldighet att ha en dedicerad DPO att frivilligt anställa en sådan för att inte riskera att drabbas av de höga bötesbeloppen.