Syftet med GDPR är att skydda privatpersoners integritet, stärka rättigheterna för personer inom EU och ge dem kontroll över sina personuppgifter.
Många försöker orientera sig om nyheterna, vilket inte minst en titt på Google Trends visar, sökordet GDPR visar på en brant trendkurva. Över hela världen googlar människor för att ta reda på hur olika aspekter av den europeiska dataskyddsförordningen ska hanteras.
I Sverige har GDPR ersatt PuL (Personuppgiftslagen) och den innebär en skärpning av regelverket för hur organisationer får samla in, lagra och hantera persondata. All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Den som behandlar personuppgifter ska också kunna visa att principerna följs.
Några av förändringarna gentemot PuL är:
· Skärpta krav på samtycke för att samla in personuppgifter
· Personer ska ges tillgång till sina egna uppgifter
· Personen ska ges rätt att ”glömmas bort”
· Personer skall enkelt kunna flytta sina uppgifter till en annan organisation
· Organisationer som drabbas av en personuppgiftsincident måste anmäla detta inom 72 timmar
· De flesta organisationer behöver utse ett särskilt dataskyddsombud
Personuppgifter är all information som går att härleda till en identifierad eller identifierbar nu levande fysisk person. Det är alltså ett brett spektrum information som kan sägas vara en personuppgift; namn, e-postadress, IP-adress, ljudupptagning, fotografi, GPS-koordinater etc.
Varför är GDPR-dokumentation viktigt?
Kraven i förordningen är sällan begränsade till enskilda avdelningar, utan får konsekvenser för hela organisation. Därför måste dataskyddsombudet ha dokumentation i ordning och kunna redogöra för alla aspekter av personuppgiftsbehandling i företaget.
Det är viktigt att den dokumentation som skapas för GDPR verkligen är anpassad och skräddarsydd för er organisation. Börja med en genomlysning av relevant befintlig dokumentation, för att identifiera behov av uppdatering och komplettering. Detta ger en utgångspunkt för att skapa relevant och nödvändig dokumentation för er och era arbetssätt.
Tänk på att dokumentationen ska vara komplett och heltäckande. Se till att referera till relevanta artiklar i förordningen, skapa standardiserade mallar för dina dokument och tillämpa versionshantering. All producerad dokumentation bör kontrolleras, verifieras och göras tillgänglig för rätt personer, till exempel på en gemensam lagringsyta med olika accessnivåer.