Advania logo
    Kontakta oss
    Gå tillbaka

    GDPR

    Vad är GDPR?

    GDPR, eller General Data Protection Regulation, är EU:s dataskyddsförordning som trädde i kraft den 25 maj 2018. På svenska kallas den ofta för DSF. Det är en omfattande lagstiftning som syftar till att stärka och harmonisera skyddet av personuppgifter för alla individer inom Europeiska unionen.

    GDPR ger individer (kallade "registrerade") större kontroll över sina personuppgifter och ställer strikta krav på alla organisationer som samlar in, lagrar och behandlar sådana uppgifter.

    Varför GDPR är viktigt

    I en alltmer digitaliserad värld, där personuppgifter har blivit en av de mest värdefulla tillgångarna, var behovet av ett moderniserat och enhetligt dataskydd uppenbart. GDPR är viktigt eftersom det etablerar en hög standard för dataskydd som är gemensam för hela EU, vilket ersatte ett lapptäcke av nationella lagar. Förordningen skyddar individens grundläggande rätt till integritet och tvingar organisationer att ta ett proaktivt och ansvarsfullt grepp om sin datahantering. Att följa GDPR är inte bara ett juridiskt krav; det är en fundamental del av att bygga och upprätthålla förtroende hos kunder och anställda.

    Hur fungerar GDPR i praktiken?

    GDPR bygger på ett antal grundläggande principer som måste genomsyra all behandling av personuppgifter. Dessutom ger lagen individer en rad stärkta rättigheter och ålägger organisationer tydliga skyldigheter.

    De sju grundläggande principerna:

    1. Laglighet, korrekthet och öppenhet: Behandlingen måste ha en giltig rättslig grund, vara rättvis och transparent för den registrerade.
    2. Ändamålsbegränsning: Data får endast samlas in för specifika, uttryckligt angivna och berättigade ändamål.
    3. Uppgiftsminimering: Man får inte samla in mer data än vad som är nödvändigt för ändamålet.
    4. Lagringsminimering: Data får inte sparas längre än nödvändigt.
    5. Korrekthet: Uppgifterna måste vara korrekta och uppdaterade.
    6. Integritet och konfidentialitet: Data måste skyddas mot obehörig åtkomst och behandling.
    7. Ansvarsskyldighet: Organisationen (den personuppgiftsansvarige) är ansvarig för och måste kunna visa att den följer alla principerna.

    Individens rättigheter inkluderar bland annat:

    • Rätten till information och tillgång till sina uppgifter.
    • Rätten att få felaktiga uppgifter rättade.
    • Rätten att bli raderad ("rätten att bli bortglömd").
    • Rätten att invända mot och begränsa behandling.
    • Rätten till dataportabilitet (att få ut och flytta sin data).

    Konsekvenser vid bristande efterlevnad

    En av de mest uppmärksammade aspekterna av GDPR är de kännbara sanktionsavgifterna. Tillsynsmyndigheten (Integritetsskyddsmyndigheten, IMY, i Sverige) kan utfärda administrativa böter på upp till 20 miljoner euro eller 4 % av ett företags globala årsomsättning, beroende på vilket belopp som är högst. Utöver böter kan en överträdelse leda till allvarliga anseendeskador och förlorat kundförtroende.

    GDPR: En grundsten för ansvarsfull datahantering

    GDPR har satt en global standard för dataskydd och tvingat organisationer världen över att se över sin hantering av personuppgifter. Att implementera och upprätthålla GDPR-efterlevnad är en kontinuerlig process som kräver engagemang från hela organisationen, från ledning till medarbetare. Det handlar om att bygga in dataskydd i alla processer ("privacy by design") och att se ansvarsfull datahantering som en självklar del av verksamheten.

    Vanliga frågor om GDPR

    Vad räknas som en "personuppgift"?

    En personuppgift är all information som direkt eller indirekt kan knytas till en levande, identifierbar person. Det inkluderar uppenbara saker som namn, personnummer och e-postadress, men även mindre uppenbara saker som IP-adresser, platsdata eller en bild där personen kan identifieras.

    Gäller GDPR bara för företag inom EU?

    Nej. GDPR har en så kallad "extraterritoriell" räckvidd. Det innebär att lagen gäller för alla organisationer, oavsett var i världen de är baserade, om de erbjuder varor eller tjänster till personer inom EU eller övervakar deras beteende.

    Vad är skillnaden på en "personuppgiftsansvarig" och ett "personuppgiftsbiträde"?

    Den personuppgiftsansvarige är den organisation som bestämmer *ändamålet* och *medlen* för behandlingen av personuppgifter (t.ex. ett företag som samlar in kunddata). Personuppgiftsbiträdet är den som behandlar data *på uppdrag av* den ansvarige (t.ex. en molnleverantör eller en lönebyrå). Båda parter har skyldigheter enligt GDPR.

    Måste jag ha samtycke för all behandling av personuppgifter?

    Nej, detta är en vanlig missuppfattning. Samtycke är bara en av sex möjliga rättsliga grunder för att få behandla personuppgifter. Andra vanliga grunder är att behandlingen är nödvändig för att fullgöra ett avtal, för att uppfylla en rättslig förpliktelse, eller efter en intresseavvägning.

    Viktiga punkter att ta med sig:

    • GDPR är EU:s dataskyddsförordning som syftar till att skydda individers personuppgifter och integritet.
    • Lagen bygger på sju grundläggande principer, som laglighet, ändamålsbegränsning och ansvarsskyldighet.
    • Den ger individer stärkta rättigheter, som rätten att bli raderad och rätten till tillgång till sin egen data.
    • GDPR gäller för nästan alla organisationer som hanterar personuppgifter om personer inom EU, oavsett var organisationen är baserad.
    • Brott mot GDPR kan leda till extremt höga böter, vilket gör efterlevnad till en kritisk affärsfråga.