Artikel

GDPR – Vad innebär det i praktiken?

 

En guide till GDPR i Sverige

Vad betyder GDPR? Hur kommer det att påverka vardagen på arbetsplatsen? Och vad exakt innebär Privacy by default? Mycket är bra att veta om EU-direktivet GDPR - så för att förenkla har vi byggt en guide med några av de termer, regler och riktlinjer som innebär störst förändring för svenska arbetsplatser.

Vi har sållat ut de viktigaste sakerna att vara medveten om när det gäller GDPR i den här artikeln, så när du har läst färdigt kommer du både känna dig lugnare, och veta vart du kan vända dig om du vill veta ännu mer.

Vad är GDPR?

GDPR står för General Data Protection Regulation och heter Allmänna dataskyddsförordningen på svenska. Det är en föreskrift från EU som handlar om att skydda data. Den berör till exempel hur organisationer och företag ska tillåtas samla in, lagra och hantera personliga data från privatpersoner på ett säkert sätt, och hur data ska hanteras inom och utom EU-länder.

Vad är syftet med GDPR?

Målet är att skydda människors integritet, samtidigt som företag får tydliga riktlinjer att följa. Precis som en regelbok i fotboll: den gör det enklare för alla att spela på samma villkor.

Bakgrunden till direktivet

För att förstå GDPR behöver vi gå tillbaka till 1995, då EU införde ett dataskyddsdirektiv. Varje medlemsland fick tolka det själva och det uppstod skillnader i hur personuppgifter hanterades - företag som verkade i flera länder mötte olika regler, och medborgare fick olika rättigheter i praktiken. I Sverige fick vi personuppgiftslagen, som reglerade hur företag fick samla in och spara personuppgifter. 

En gemensam regelbok

GDPR fungerar som en gemensam regelbok med tydliga krav på datasäkerhet – lika för alla EU-länder, men med viss nationell anpassning. I Sverige gäller exempelvis fortfarande vår offentlighets- och sekretesslag parallellt. 

GDPR-kraven är också bättre anpassat till dagens digitala vardag. Det omfattar inte bara personuppgifter som personnummer och adresser, utan även foton, e-postadresser och inlägg i sociala medier – all data som kan kopplas till en individ.

Vad innebär GDPR i praktiken?

GDPR innebär att företag får större krav på sig, både från EU och svenska myndigheter, att hantera sina kunders personuppgifter på ett säkert sätt. Dessutom måste företag överväga om det verkligen finns skäl för att lagra uppgifterna. Kunderna har även rätt att veta vilken information du har om dem och du ska kunna radera deras uppgifter om de begär det. Det spelar ingen roll var i EU ditt företag verkar, samma regler gäller i alla medlemsländer. Läs mer om hur GDPR påverkar företag, kunder och arbete inom och utom EU här nedanför.

Hur påverkas mitt företag?

Beroende på hur er datahantering sett ut från början kan ni behöva göra förändringar – vissa större än andra. Här följer några av de viktigaste.

Kontrollera säker datahantering

Ni behöver fundera över säkerheten när ni hanterar och lagrar data om era kunder. Det handlar både om tekniska lösningar, som att kryptera känslig information, och om organisatoriska lösningar, som att bestämma vem som har ansvar för att ta beslut om hur personuppgifterna hanteras. Dessutom måste ni fundera på:

  • Om det är rättsligt grundat att hantera datan
  • Hur länge det är rimligt att ni behåller data om kunderna.
  • Vem i företaget som har tillgång till datan.
  • Hur ni ska dokumentera hur ni hanterar datan. Integritetsskyddsmyndigheten tipsar till exempel om att ha en policy för datahantering och tydliga rutiner för hantering av personuppgifter.
Se över hur ni hanterar personuppgifter

Tidigare kunde det vara okej att till exempel skicka en kunds personuppgifter till en kollega via mejl, så länge det inte kränkte den personliga integriteten. Med GDPR spelar det ingen roll i vilket sammanhang som personuppgifterna nämns – samma regler gäller oavsett. Du behöver överväga:

  • Om det finns en säkerhetsrisk med dina mejl
  • Om kollegan verkligen behöver personuppgifterna, och
  • Vad kollegan tänker göra med dem.
Be om tillåtelse att spara information

För att få hantera känsliga data om kunderna krävs otvivelaktigt samtycke från dem. Det är till exempel inte tillräckligt tydligt att låta en förkryssad ruta dyka upp i hörnet av er hemsida. Ni måste kommunicera klart, tydligt och kortfattat hur ni kommer att hantera kundernas data och det måste vara lika enkelt för dem att ångra sitt samtycke som att ge det.

Gör rätt - undvik böter

Företag som inte följer förordningen kan få böter. Några saker som kan ge böter är att inte rapportera ett dataintrång till Datainspektionen, att hantera personuppgifter utan godkännande från kunderna eller att inte hantera datan tillräckligt säkert. Hur stor boten blir beror på företagets storlek och på hur allvarligt felet är. Som mest kan böterna landa på svindlande 20 miljoner euro. I Sverige är det Datainspektionen som gör denna bedömning, men EU kommer också att utse en central dataskyddsstyrelse som ska hjälpa till med sådana här frågor.

Hur påverkas mina kunder?

Vissa delar av GDPR har en direkt påverkan på dina kunder. Här listar vi de tre största förändringarna ur kundens vinkel.

Kunder måste godkänna datahanteringen

Kunderna får större inflytande över vem som hanterar deras personuppgifter och hur. De kan både ta tillbaka sitt samtycke om att ni lagrar deras uppgifter och lämna in klagomål om de anser att ni brustit i hanteringen. Syftet med det här är att ge kunderna rätt att hålla sin information privat om de vill det, och se till att ni gör allt ni kan för att inte kränka deras personliga integritet.

Mer insyn i datahanteringen

Kunderna har rätt att veta exakt vilken information ni lagrar om dem, på vilken rättslig grund ni gör det och vad syftet med att spara informationen är. Ni kan alltså inte spara någon uppgift utan att tala om det för dem, och om en kund kräver att få veta vilken information ni har om dem måste ni kunna svara på det.

Unga personers data skyddas mer

Från och med att GDPR träder i kraft måste företag ha målsmans uttryckta tillstånd för att få lagra information om barn under 16 år. Här finns det dock vissa möjligheter för medlemsländerna att anpassa reglerna lite. Det går bra att både höja och sänka åldersgränsen, dock inte till lägre än 13 år.

Vad innebär GDPR för jobb över landsgränser?

GDPR är tänkt att underlätta för organisationer och företag som är verksamma i flera länder. Sådant som varit krångligt tidigare ska bli lättare genom att alla länder inom EU ska jobba på samma sätt i större utsträckning.

Det blir lättare att arbeta i flera länder

Tidigare kunde nationella skillnader i regler göra det väldigt krångligt för företag och myndigheter att avgöra hur data egentligen skulle hanteras, men tack vare GDPR gäller nu samma regler för alla (med vissa undantag för nationella tillägg, men i betydligt mindre skala än tidigare).

Länder utanför EU kan påverkas av GDPR

Företag som är placerade i ett land utanför EU men som hanterar uppgifter om personer som är bosatta i EU ska också följa GDPR-regler. Det spelar alltså ingen roll om ett företag är baserat i Göteborg, Berlin eller Los Angeles om de hanterar information om EU-medborgare – personuppgifterna ska skyddas och hanteras i enlighet med GDPR.


En huvudregel i GDPR är att organisationer bara ska behöva stå till svars inför en datainspektionsmyndighet i ett land, även om organisationen finns i flera länder. Det finns några undantag, men generellt sett är det såhär det fungerar:

  • Om alla beslut om datahanteringen fattats på huvudkontoret är det landet där huvudkontoret ligger som har ansvar för tillsynen av datahanteringen.
  • Om besluten om datahantering fattas på fler än ett ställe är det landet där beslutet i fråga har tagits som ansvarar för tillsynen.

Till exempel: en organisation har ett kontor i London och ett i Stockholm. Om kontoret i London fattar alla beslut om datahantering är det också tillsynsmyndigheten i London som har ansvar för att kontrollera att man följer GDPR-regler, även om personer på det svenska kontoret också hanterar datan. Om besluten fattas både i London och Stockholm beror det på vilket beslut som ska utredas och i vilket land det specifika beslutet togs.

Implementera policyer, riktlinjer och dokumentation

Vi nämnde tidigare att det kan vara bra att dokumentera själva arbetet med att hantera datan enligt GDPR – vem som gör det, på vilket sätt och med vilka säkerhetsåtgärder. Det här blir särskilt viktigt av två skäl:

  1. Ni behöver kunna göra integritetsanalyser av datahanteringen för att försäkra er om att kundernas personliga integritet verkligen är så skyddad som den ska vara.
  2. Ni kan få krav på er att snabbt lämna ut register över vilken data ni hanterar. Genom att ha policyer, riktlinjer och annan dokumentation över integritetsarbetet och datahanteringen kan ni enklare uppfylla de kraven.

Skydda data - redan från steg ett

Två fraser som dyker upp i samband med GDPR är Privacy by design och Privacy by default. Båda bidrar till syftet att hantera data säkert, med en viss betydelseskillnad. 

Privacy by design, eller Inbyggt dataskydd, betyder att IT-system och rutiner utformas med datasäkerheten i åtanke, till exempel genom kryptering. Säkerhetstänket behöver med andra ord finnas med redan från start. 

Privacy by default, eller Dataskydd som standard handlar om att inte samla in mer information än nödvändigt om kunderna som utgångspunkt.

Sammanfattning

Som du kanske har förstått är GDPR i sig ingen direkt instruktion för hur ni ska hantera data – det finns ingen särskild regel för hur personuppgifter ska lagras. GDPR är snarare en hjälp på vägen mot bättre, säkrare och mer transparent datahantering för organisationer som av olika skäl måste hämta in eller lagra data.

Vill du läsa mer om GDPR?

Vi har flera artiklar till på ämnet:
GDPR Ansvarsroller: Personuppgiftsansvarig och Personuppgiftsbiträde
GDPR: Så skriver du tydliga datahanteringsavtal

Eller gå in för ännu mer kunskap i ämnet på Integritetsskyddsmyndigheten

Boka demo

Upptäck ledningssystemet som faktiskt hjälper

Vill du se med egna ögon hur AM System kan göra skillnad för er? Boka en demo och upptäck hur enkelt det är att skapa struktur, effektivitet och flyt i vardagen.
Testa-AM-System-gratis-1