Europas nya dataskyddsförordning står inför dörren. Vad betyder GDPR och hur påverkas du?

“Gör dig redo innan 25:e maj”. “Är ditt företag redo för GDPR?”. Hur många sådana mail får du varje vecka, eller om dagen? Du har säkert också fått ett och annat brev, t.ex från din bank om deras nya policy.

För dig som använder Instagram poppar det kanske hela tiden upp ett meddelande om att du måste godkänna deras nya policy? Vi fattar! Det gäller att godkänna innan den 25:e!

GDPR har varit en minst sagt “hot topic” i år och nu innan Dagen D ser vi till att borra in begreppet lite till. Vad är vad? Hur påverkas företag? Och kanske allra viktigast: Vem är lagen egentligen till för att hjälpa och skydda?

Vad står GDPR för och vad är det?

GDPR står för General Data Protection Regulation. Kärnan i GDPR är ett nytt antal regler som är skapta för att ge EU-medborgare mer kontroll över sin personliga data, t.ex. sin e-postadress mm. Målet är att denna förordning ska förenkla miljön för regleringen som råder för såväl medborgare som företag i hela EU. Detta för att de ska kunna dra den fulla nyttan av den digitala ekonomin.

Enkelt uttryckt kan man säga att tekniken hittills har gått om juridiken. Därför är förhoppningen att GDPR kommer att kunna reflektera sättet vi lever och verkar idag i vår uppkopplade värld i Europa.

Så i grunden är GDPR något bra för individen vars liv påverkas av data som insamlas på många olika sätt, från sociala medieföretag till banker och många fler.

Vad räknas som personuppgifter under GDPR?

I Sverige har vi vant oss vid PUL sedan en tid tillbaka och därför är vi generellt sätt rätt “pålästa” när det kommer till personuppgifter. En personuppgift är t.ex ett namn, adress, bilder, eller någon annan information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. GDPR utökar dessa och anser att personuppgifter även kan vara något som IP-nummer, e-postadress, genetisk data, biomedicinsk data och mycket mer.

Vad betyder samtycke i och med GDPR?

Kunskap är makt. Och kunskap är data. Så om data hamnar i fel händer så kan en hel del hemska saker hända. Det vet vi, så hur ska GDPR förhindra detta?

Enligt villkoren för GDPR måste organisationer och företag inte bara säkerställa att personuppgifter samlas in på ett lagligt sätt under strikta rutiner. Den innefattar även att företag måste hantera dessa uppgifter på ett säkert sätt, vilket inbegriper att de är skyldiga att skydda dessa från felanvändning och utnyttjande samt att de ska respektera rättigheterna hos varje enskild dataägare.

Gör man inte detta så riskerar man böter – 24 miljoner dollar (ca 193 miljoner kronor) eller 4% av företagets totala årsförsäljning, beroende på vilken summa som är högst.

Vem påverkas av GDPR?

GDPR påverkar alla organisationer inom EU, såväl som alla organisationer utanför EU som erbjuder produkter eller tjänster till kunder eller företag inom EU. Det betyder alltså att nästan samtliga större företag i världen måste vara redo inför den 25:e maj då den nya dataskyddsförordningen träder i kraft.

Enligt GDPR finns det två typer av data-hanterare som lagstiftningen gäller för: “processors” and “controllers”. En tydligare definition för dessa två datahanterare kan du läsa om under artikel 4 i the General Data Protection Regulation. Här får du även mer information om du antingen är en processor eller controller samt vilka skyldigheter du har.

För att göra dig redo behöver ditt företag bland annat:

Se över informationen du sparar/hanterar: Var kommer informationen ifrån och vem delar du den med?

Gå igenom processer för individens rättigheter: Hur skulle vi radera personlig data på begäran? Hur hanterar vi data elektroniskt eller i något annat vanligt förekommande format?

Samtycke och godkännande: Hur letar vi upp, sparar och hanterar samtycke eller godkännande från andra om att spara och dela information? Har ni en befintlig policy för samtycke/godkännande måste denna uppdateras så att den uppfyller GDPR.

Att ställa om sin verksamhet för att klara de nya kraven i och med GDPR kan vara en omfattande process. Därför är det absolut nödvändigt att 1) förstå exakt vad lagen säger, 2) hur man påverkas av den och 3) hur man lägger upp en strategi för att arbeta i enlighet med den innan och efter den 25:e maj.