Henrik Rehmberg
  • Henrik Rehmberg

GDPR står för General Data Protection Regulation och är en EU-förordning. Från 25 maj 2018 kommer den att vara direkt tillämpbar i alla EU-länder. Även länder utanför EU kommer att beröras av GDPR om de hanterar EU-medborgares personuppgifter.

Syftet med GDPR är att skydda privatpersoners integritet, stärka rättigheterna för personer inom EU och ge dem kontroll över sina personuppgifter. Förordningen är direkt tillämpbar i alla EU länder från och med den 25 maj 2018. 

Många försöker orientera sig om nyheterna, vilket inte minst en titt på Google Trends visar, sökordet GDPR visar på en brant trendkurva. Över hela världen googlar människor för att ta reda på hur olika aspekter av den europeiska dataskyddsförordningen ska hanteras.

I Sverige kommer GDPR att ersätta PuL (Personuppgiftslagen) och den innebär en skärpning av regelverket för hur organisationer får samla in, lagra och hantera persondata. All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Den som behandlar personuppgifter ska också kunna visa att principerna följs.

Några av förändringarna gentemot PuL är:

·       Skärpta krav på samtycke för att samla in personuppgifter

·       Personer ska ges tillgång till sina egna uppgifter

·       Personen ska ges rätt att ”glömmas bort”

·       Personer skall enkelt kunna flytta sina uppgifter till en annan organisation

·       Organisationer som drabbas av en personuppgiftsincident måste anmäla detta inom 72 timmar

·       De flesta organisationer behöver utse ett särskilt dataskyddsombud

Personuppgifter är all information som går att härleda till en identifierad eller identifierbar nu levande fysisk person. Det är alltså ett brett spektrum information som kan sägas vara en personuppgift; namn, e-postadress, IP-adress, ljudupptagning, fotografi, GPS-koordinater etc.

Sammanfattningsvis är GDPR instiftat för att skydda den personliga integriteten och ge EU-medborgare kontroll över hur deras personuppgifter används. För företag och organisationer handlar det om att erbjuda en ökad transparens i förhållande till den registrerade.