Om dataskyddslagen
Den 25 maj 2018 börjar GDPR att gälla som lag i EU:s medlemsländer. Förordningen medför stärkta rättigheter för den enskilde när det gäller personlig integritet och därmed utökade skyldigheter för företag och organisationer när det gäller hantering av personuppgifter.
Lagen i korthet:
- Stärkning av individens integritet, skydd och tillgång till sina uppgifter
- Ökat krav på gallring av uppgifter
- Ny teknik
- Skärpta krav på medgivande för minderåriga
- Fri rörlighet av personuppgifter inom EU
Den allmänna dataskyddsförordningen (GDPR) gäller för behandling av personuppgifter generellt. Därutöver har EU antagit ett direktiv om personuppgiftsbehandling som utförs av brottsbekämpande verksamheter.
Vilka berörs av GDPR?
Den allmänna dataskyddsförordningen (GDPR) gäller för behandling av personuppgifter generellt. Därutöver har EU antagit ett direktiv om personuppgiftsbehandling som utförs av brottsbekämpande verksamheter.
Begreppet ”behandla” är brett. Det omfattar bland annat registrering, lagring, bearbetning, spridning och utplåning.
Även begreppet ”personuppgifter” är brett. Det är varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar person är en person som kan identifieras med namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, kulturella eller sociala identitet.
Det innebär att till exempel foton på identifierbara personer på en webbplats omfattas av GDPR liksom namn på individer i ett leverantörsregister.
Vad blir skillnaden med GDPR?
Tidigare har företag och organisationer haft skyldighet att följa Personuppgiftslagen, PUL, som också har som syfte att skydda människors personliga integritet när personuppgifter behandlas. Digitaliseringens utveckling och ett behov av ytterligare samordning inom EU har medfört att PUL och övriga EU-länders skyddslagar kommer att ersättas av en gemensam och uppdaterad lag. Kraven på företag och organisationer skärps ytterligare.
Den mest märkbara skillnaden med GDPR är att företag och organisationer kommer att behöva ”göra om” allt arbete med personuppgifter. Bland annat behöver ni känna till och dokumentera all er användning av personuppgifter. Ni behöver också uppdatera era rutiner kring behandling av personuppgifter, bland annat hur ni lägger in och gallrar ut personuppgifter från register och system, hur ni hanterar personuppgifter i e-post och löpande text och vilka typer av personuppgifter ni sparar.
Vilka rättigheter får den enskilde individen?
Det viktigaste med den nya lagen är att den enskilde individen får ökade rättigheter till sina personuppgifter.
De ska ha möjlighet att:
- få tillgång till sina personuppgifter
- få felaktiga personuppgifter rättade
- få sina personuppgifter raderade
- invända mot att personuppgifterna används för direktmarknadsföring
- invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
- flytta personuppgifterna (dataportabilitet)
Om PUL
Personuppgiftslagen (PUL) har till syfte att skydda människors personliga integritet när personuppgifter behandlas. Lagen omfattar all behandling av personuppgifter, bland annat registrering, lagring, bearbetning, spridning och utplåning. Lagen antogs 1998 och bygger på regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Flödet av information inom EU har underlättats av att alla EU-länder har liknande skyddslagar.
Centralt i PUL är samtycke och information till de registrerade. Andra viktiga delar är säkerhet och rättelse av felaktiga uppgifter. Strukturerad information omfattas av fler regler än ostrukturerad information.
