Om du eller ditt företag hanterar personuppgifter på något sätt – det vill säga namn, personnummer, e-postadresser, bilder eller annan information som går att koppla till en fysisk person – omfattas ni av den nya dataskyddsförordningen.
En hel del i GDPR-lagen påminner dock om personuppgiftslagen (PUL) som funnits i Sveriges sedan 1998:
- Bland annat får du fortfarande hantera personuppgifter om du har samtycke från personerna ifråga, till exempel för att uppfylla ett avtal eller liknande.
- Du måste även i fortsättningen kunna garantera att personuppgifter skyddas.
- Vi som registreras hos ett företag eller organisation har även med GDPR rätt att få information om att våra personuppgifter registreras, och varför.
5 viktiga skillnader mellan PUL och GDPR
- Syftet med personuppgiftsbehandling
Med GDPR-lagen måste företag även kunna visa vad de vill göra med personuppgifterna som samlas in, registreras eller sparas. Personuppgiftslagen PUL handlar snarare om vad som görs med informationen när den väl är insamlad eller registrerad. - Anmälan till Datainspektionen
Om det uppstår säkerhetsproblem, till exempel ett dataintrång eller om personuppgifter oavsiktligt försvinner eller tappas bort, måste ni anmäla det till Datainspektionen inom 72 timmar. Det kan även vara nödvändigt att informera personerna som personuppgifterna tillhör. - Dataskyddsombud
Om ni till exempel är en myndighet som hanterar uppgifter som innebär en kartläggning av enskildas individers beteende, eller om omfattande behandling genomförs – alternativt om det föreligger en hög risk i samband med behandlingen (till exempel att det handlar om känsliga personuppgifter) måste ni ha en särskild person som ansvarar för dataskyddsfrågor. - Sanktionsavgifter
Bryter ni mot dataskyddsförordningen kan Datainspektionen utdela böter beroende på hur allvarlig överträdelsen är samt beroende på om det har skett avsiktligt eller ej. Det är även avgörande vad ni har gjort åt saken för att åtgärda problemet, om ni tjänar ekonomiskt på det och liknande omständigheter. Det högsta bötesbeloppet är 20 miljoner euro, eller 4 procent av er globala omsättning, beroende på vilket som är högst. - Dataportabilitet
Med PUL räckte det med att företag informerade ATT personuppgifter registrerades. Med GDPR har vi även rätt att få ut de personuppgifter som vi lämnat för att föra över dem till en annan tjänst, det vill säga Dataportabilitet.
Mer information:
Introduktion till dataskyddsförordningen
(Datainspektionen, blivande Integritetskyddsmyndigheten)
Checklista för ett systematiskt arbete med GDPR
Vanliga frågor
Vad är GDPR?
Kortfattat är General Data Protection Regulation (GDPR) en EU-förordning som ger alla EU- och EÖS-länder riktlinjer för personuppgifter. Förordningen träffe i kraft 2018 och verkar för att beskydda personuppgifter.
Vad är syftet med GDPR?
Syftet med GDPR är att ge användare större insikt i vilken information företag samlar in om dem, hur den samlas in och vad den används till. Användare ska med GDPR få möjlighet att lämna samtycke för insamling av personuppgifter och få information om vad dessa uppgifter används till. De har även rätten att raderas ur ett företags kontaktbad till exempel om så önskas.
Gäller GDPR för alla svenska verksamheter?
Ja. GDPR gäller för alla länder inom EU och EÖS.
Vad står GDPR för?
GDPR står för General Data Protection Regulation.
Hur säkerställer jag att företaget följer GDPR?
Genom att ge användare möjligheten till att aktivt samtycka till att du samlar in deras information, syftet med insamling av personuppgifter måste vara tydligt beskrivet och samtycket måste dokumenteras. Företaget måste också kunna radera personuppgifter om en användare önskar det.
