Dataskyddsreglering”. Bild av mohammed_hassan. Licens: CC0.

GDPR; eller General Data Protection Regulation är den nya dataskyddsförordningen som träder ikraft den 25 maj 2018. Syftet med förordningen är att stärka skyddet för individers personuppgifter. GDPR medför även att organisationer får bättre dokumentation över sin datahantering.

Nedan kommer jag att gå igenom vad förordningen innebär, både för privatpersoner och de som hanterar personuppgifter.

GDPR – för mig som privatperson

Skyddet för samtliga personuppgifter blir mycket starkare. Dessutom utökas rättigheterna för att dels ta del utav data som organisationer har sparat om dig som privatperson. Man ges också rätt att rätt långväga bli bortglömd, i den mån som det går, från organisationers register. De fall då man inte kan bli helt bortglömd är då andra lagar kräver att uppgiften är sparad. Ett exempel är just verifikationer i bokföring, såsom kvitton.

Ibland kan inte heller alla uppgifter lämnas ut, såsom specificeras i den nya lagen. I artikel 12 punkt 5 att läsa följande:

Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a)

ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b)

vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

Enligt Dataskyddsinspektionen [och från januari 2021, Integritetsmyndigheten, imy] gäller inte dataskyddsreformen då man som privatperson hanterar personuppgifter i sin egna privata behandling, eller då man utövar sin yttrande- och informationsfrihet.

GDPR – för mig som hanterar personuppgifter

Begreppet personuppgift breddas, så att allt som kan kopplas till en privatperson blir en personuppgift. Man gör ingen skillnad på strukturerad (sådant som exempelvis sparas i en databas) och ostrukturerad data (exempelvis e-post). Dataskyddsförordningen innebär framför allt att den som hanterar personuppgifter måste göra en grundlig genomgång i sin organisation. Två viktiga som måste ställas är ”hur samlas personuppgifter in idag”, och ”varför hanteras dessa”?

När får jag samla in personuppgifter?

Enligt GDPR måste man som organisation ha en rättslig grund för att samla in personuppgifter. Det kan antingen vara att man har tagit emot ett samtycke, eller för att uppfylla bokföringsskyldigheten enligt bokföringslagen. Som organisation kan man även ha skrivit avtal, och får då enbart använda sig av personuppgifterna i enlighet med det avtalet. Dessa finns att läsa i artikel 6 av GDPR.

Det som är viktigt vid insamlande av den personliga datan är att man skall samla in så lite som möjligt, om man behöver samla in personuppgifter. Dessa bör också sparas i så kort tid som möjligt, det vill säga att man inte kan spara dem bara för att de är ”bra att ha”.

Man har möjlighet att samla in personuppgifter för, såsom Datainspektionen skriver:

arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.

Det betyder alltså att om data anonymiseras på sådant vis, att den enskilde individen inte längre kan identifieras, kan uppgifter samlas in för exempelvis statistiska ändamål.

När GDPR införs måste också avtalstexten vara begriplig för ”medelsvensson”. Den som får sina personliga data insamlade måste få veta till vilket syfte dennes personliga uppgifter samlas in för.

Läsvärt på nätet

Binero har några, väldigt läsvärda blogginlägg inom ämnet. Verksamt.se har även tagit fram en guide för småföretagare gällande GDPR. Dataskyddsförordningen finns att läsa hos EU. Dessutom finns det en väldigt trevlig guide [PDF] som Datainspektionen har tagit fram, vilken är enkelt hållen och mycket pedagogisk.

Jag är inte en utbildad jurist, och ber dig därför att överväga att gå igenom din organisation med en sådan. Jag ger enbart inblick i sådant som man bör vara medveten om, särskilt då man hanterar personuppgifter.