Vad är GDPR? En guide till GDPR i Sverige

Kanske har du sett någon artikel rulla förbi i ett flöde på sociala medier. Kanske hörde du kollegorna diskutera det vid kaffeautomaten. Oavsett hur du först hörde talas om GDPR har du nog anat att det är en hel del förändringar i antågande, och förändring kan ju kännas lite jobbigt ibland. Men det behöver det inte vara! Vi har sållat ut de viktigaste sakerna att vara medveten om när det gäller GDPR i den här artikeln, så när du har läst färdigt kommer du både känna dig lugnare, och veta vart du kan vända dig om du vill veta ännu mer.

Vad är GDPR? En sammanfattning

Vi börjar med de frågor som kanske flest personer ställer sig när de hör talas om något nytt: Vad är det, och vad betyder det? Jo, GDPR står för General Data Protection Regulation, eller Allmänna dataskyddsförordningen som den heter på svenska. Det är en föreskrift från EU som handlar om just det – skyddandet av data. Den berör till exempel hur organisationer och företag ska tillåtas samla in, lagra och hantera data från privatpersoner på ett säkert sätt, och hur det ska fungera att hantera data inom och utom EU-länder.

För att förstå vad GDPR kommer ifrån är det enklast att gå tillbaka drygt 20 år i tiden, till införandet av det direktiv som GDPR ersätter. 1995 antog EU ett direktiv om dataskydd i ett försök att få alla EU-länder att hantera personuppgifter på ett bättre sätt. När direktivet antogs var det upp till varje medlemsland att själva lagstifta för hur direktivet skulle följas. I Sverige blev det personuppgiftslagen, som du säkert är bekant med. Den reglerar kort sagt hur du ska hantera personuppgifter från dina kunder, exempelvis vilka uppgifter du får och inte får registrera och spara. Det var alltså där det började, men mycket har hunnit hända sedan 1995.

GDPR: Lite som regelboken i fotboll

Med det gamla direktivet fick alltså alla EU-länder lite för fria tyglar för hur de ville bemöta direktivet, vilket gjorde att det blev vissa skillnader i hur data hanterades runt om i EU. Det här krånglade till det en hel del. Fler och fler företag och organisationer började arbeta i mer än ett EU-land och de fick flera olika lagar och regler att hålla sig till, och medborgare i olika länder fick inte samma rättigheter i praktiken trots att de i teorin skulle ha fått det. Lite som att våra respektive fotbollslag i Europa bara delvis skulle följa samma regelverk: svårt för både spelarna och domarna.

Det är här GDPR kommer in i bilden. Den nya föreskriften fungerar som en tydligare och mer sammanhållen riktlinje med högre krav på datasäkerhet som alla medlemsländer i EU måste följa, men fortfarande med en viss möjlighet till att låta länder anpassa reglerna nationellt. För oss i Sverige innebär det till exempel att vår offentlighets- och sekretesslag kommer att fortsätta gälla i kombination med GDPR, men generellt sett ska alla företag i EU-länder följa samma regler när de hanterar data.

Dessutom är GDPR bättre anpassat för våra digitala liv. När du tänker på data går tankarna kanske främst till uppgifter som personnummer, telefonnummer eller adress, men hit räknas också foton, inlägg i sociala medier och mejladresser. Kort sagt allt som kan identifiera en person, direkt eller indirekt. GDPR handlar därför om att säkra kundernas integritet för alla de här typerna av data, och att underlätta för företag så att de inte behöver fundera på vad som gäller. GDPR är alltså som en gemensam regelbok för hur vi ska bete oss på fotbollsplanen, så att matcherna kan spelas utan problem.

Skydda datan – redan från steg ett

Två fraser som dyker upp i samband med GDPR är Privacy by design och privacy by default. Båda dessa ska bidra till hela syftet med GDPR, att hantera data säkert, men med e viss betydelseskillnad. Privacy by design, eller Inbyggt dataskydd, betyder att it-system och rutiner utformas med datasäkerheten i åtanke, till exempel genom kryptering. Säkerhetstänket behöver med andra ord finnas med redan från start. Privacy by default, eller Dataskydd som standard handlar om att ha som utgångspunkt att inte samla in mer information än nödvändigt om kunderna.

Nu har du kanske en bättre uppfattning om vad det är som pågår, och kanske har du börjat fundera över hur det här kommer att påverka dig och dina kollegor i det dagliga arbetet. Här nedanför har vi listat några av de största förändringarna som du behöver ha koll på.

Vad betyder GDPR för mig, mitt företag och mina kunder?

Det korta svaret på vad GDPR betyder i praktiken lyder ungefär såhär: GDPR innebär att du får större krav på dig från EU och svenska myndigheter att hantera dina kunders personuppgifter på ett säkert sätt, och dessutom att du måste överväga om det verkligen finns skäl för ditt företag att lagra uppgifterna. Kunderna har rätt att veta vilken information du har om dem och du ska kunna ta bort deras uppgifter om de begär det. Det spelar ingen roll var i EU ditt företag verkar, samma regler gäller i alla medlemsländer.  

Det långa svaret har vi delat upp i tre delar: vad GDPR innebär rent praktiskt för dig och ditt företag, vad det innebär för kunderna och vad det innebär för arbete inom och utanför EU.

Vad innebär GDPR för mitt företag?

Beroende på hur er datahantering sett ut från början kan ni behöva göra olika stora förändringar, där några förändringar är större än andra. Här följer några av de viktigaste.

Se till att datahanteringen är säker 

Ni behöver fundera över säkerheten när ni hanterar och lagrar data om era kunder. Det handlar både om tekniska lösningar, som att kryptera känslig information, och om organisatoriska lösningar, som att bestämma vem som har ansvar för att ta beslut om hur personuppgifterna hanteras. Dessutom måste ni fundera på:

• om det är rättsligt grundat att hantera den data som ni gör.
• hur länge det är rimligt att ni behåller data om kunderna.
• vem i företaget som har tillgång till datan.
• hur ni ska dokumentera hur ni hanterar datan. Datainspektionen tipsar till exempel om att ha en policy för datahantering och tydliga rutiner för hantering av personuppgifter.

Säg upp bekantskapen med missbruksregeln 

Ni kan inte längre hänvisa till missbruksregeln, eftersom den försvinner med personuppgiftslagen. Tidigare kunde det vara okej att till exempel skicka en kunds  personuppgifter till en kollega via mejl, så länge det inte kränkte kundens personliga integritet. Med GDPR spelar det ingen roll i vilket sammanhang som du nämner personuppgifterna, utan samma regler gäller oavsett. Du behöver överväga:

• om det finns en säkerhetsrisk med dina mejl
• om kollegan verkligen behöver personuppgifterna, och
• vad kollegan tänker göra med dem.

Det kan alltså vara läge att se över rutinerna och kanske börja hantera personuppgifter annorlunda.

Be om tillåtelse att spara information

För att få spara kundernas personuppgifter krävs det att de aktivt samtycker till att du gör det. Det är till exempel inte tillräckligt tydligt att låta en förkryssad ruta dyka upp i hörnet av er hemsida. För att få hantera känsliga data om kunderna krävs otvivelaktigt samtycke från dem. Ni måste alltså skriva klart, tydligt och kortfattat hur ni kommer att hantera kundernas data. Dessutom måste det vara lika enkelt för kunderna att ångra sitt samtycke som att ge det.

Gör rätt – Undvik böter 

Ni kan få böter om ni inte följer förordningen. Hur mycket böter beror dels på företagets storlek, dels på hur allvarligt felet är. Några saker som kan ge böter är att inte rapportera ett dataintrång till Datainspektionen, att hantera personuppgifter utan godkännande från kunderna eller att inte ha tillräckligt säker hantering av datan. Som mest kan bötern landa på svindlande 20 miljoner euro. I Sverige är det framför allt Datainspektionen som gör bedömningarna om böter, men EU kommer också att utse en central dataskyddsstyrelse som ska hjälpa till med sådana här frågor.

Vad innebär GDPR för mina kunder?

Vissa delar av GDPR har en direkt påverkan på dina kunder. Här listar vi de tre största förändringarna ur kundens vinkel.

Kunder måste godkänna datahanteringen 

Kunderna får större inflytande över vem som hanterar deras personuppgifter och hur. De kan både ta tillbaka sitt samtycke för att ni lagrar deras uppgifter och dessutom lämna in klagomål om de anser att ert företag inte hanterat deras personuppgifter på ett tillräckligt säkert sätt. Syftet med det här är att ge kunderna rätt att hålla sin information privat om de vill det, och och se till att ni gör allt ni kan för att inte kränka deras personliga integritet.

Kunderna får mer insyn i datahanteringen 

Kunderna har rätt att veta exakt vilken information ni lagrar om dem, på vilken rättslig grund du gör det och vad syftet med att spara informationen är. Ni kan alltså inte spara någon uppgift utan att tala om det för dem, och om en kund kräver att få veta vilken information ni har om dem måste du kunna svara på det.

Unga personers data skyddas mer 

Personer under 16 år får bättre skydd när det gäller data. Från och med att GDPR träder i kraft måste ni ha målsmans uttryckta tillstånd för att få lagra information om barn under 16 år. Här finns det dock vissa möjligheter för medlemsländerna att anpassa reglerna lite. Det går bra att både höja och sänka åldersgränsen, dock inte till lägre än 13 år.

Vad innebär GDPR för jobb över landsgränser?

Tanken med GDPR är att det ska underlätta för de organisationer och företag som arbetar i flera länder när det gäller datahantering. Sådant som varit krångligt tidigare ska bli lättare och alla länder inom EU ska jobba på samma sätt i större utsträckning än tidigare.

 Det blir lättare att arbeta i fler länder 

Det blir lättare för företag som är aktiva i mer än ett EU-land att följa reglerna. Tidigare kunde de respektive nationella skillnaderna i reglerna göra det väldigt krångligt både för företagen och för myndigheterna att avgöra hur data egentligen skulle hanteras, men tack vare GDPR gäller nu samma regler för alla (med vissa undantag för nationella tillägg, men i betydligt mindre skala än tidigare).

Länder utanför EU kan påverkas av GDPR

Företag som är placerade i ett land utanför EU men som hanterar uppgifter om personer som är bosatta i EU ska också följa GDPR. Det spelar alltså ingen roll om ett företag är baserat i Göteborg, Berlin eller Los Angeles om de hanterar information om EU-medborgare – personuppgifterna ska skyddas och hanteras i enlighet med GDPR.

En huvudregel i GDPR är att organisationer bara ska behöva stå till svars inför en datainspektionsmyndighet i ett land, även om organisationen i sig finns i flera länder. Det finns några undantag, men generellt sett är det såhär det fungerar:

• Om alla beslut om datahanteringen fattats på huvudkontoret är det landet där huvudkontoret ligger som har ansvar för tillsynen av datahanteringen.
• Om besluten om datahantering fattas på fler än ett ställe är det landet där beslutet i fråga har tagits som ansvarar för tillsynen. Till exempel: en organisation har ett kontor i London och ett i Stockholm. Om kontoret i London fattar alla beslut om datahantering är det också tillsynsmyndigheten i London som har ansvar för att kontrollera att allt går rätt till, även om personer på det svenska kontoret också hanterar datan. Om besluten fattas både i London och Stockholm beror det på vilket beslut som ska utredas och i vilket land det specifika beslutet togs.

Dokumentera GDPR-arbetet med policyer och riktlinjer

Vi nämnde tidigare att det kan vara bra att dokumentera själva arbetet med att hantera datan – vem som gör det, på vilket sätt och med vilka säkerhetsåtgärder. Det här blir särskilt viktigt av två skäl. För det första behöver ni kunna göra integritetsanalyser av datahanteringen för att försäkra er om att kundernas personliga integritet verkligen är så skyddad som den ska vara. För det andra kan ni få krav på er att snabbt kunna lämna ut register över vilken data ni hanterar. Genom att ha policyer, riktlinjer och annan dokumentation över integritetsarbetet och datahanteringen kan ni enklare uppfylla de kraven.

Som du kanske har förstått är GDPR i sig ingen direkt instruktion för hur ni ska hantera data – det finns ingen särskild regel för hur telefonnummer respektive personnummer ska lagras. GDPR är snarare en hjälp på vägen mot bättre, säkrare och mer transparent datahantering för de organisationer som av olika skäl måste hämta in eller lagra data.

Vill du läsa mer om GDPR? Vi har samlat ihop några länkar som kan vara användbara:

Tips, råd och information från Datainspektionen
Information och användbara länkar från EU-kommissionen
GDPR-portalen med information hur du förbereder dig inför de nya reglerna