Många har hört talas om GDPR, men det är inte alltid helt tydligt vad det faktiskt betyder eller varför det är så viktigt. GDPR handlar i grunden om hur våra personuppgifter får användas och skyddas. Det är en lag som ska se till att ingen samlar in, lagrar eller sprider information om oss utan att vi vet om det – och utan att vi har sagt ja till det.
Reglerna gäller alla företag, organisationer och myndigheter som hanterar personuppgifter, till exempel namn, adress, mejl eller bilder. Sedan lagen trädde i kraft inom hela EU år 2018 har kraven blivit mycket strängare. Syftet är enkelt: att ge människor mer kontroll över sin egen information och att göra det tryggare att leva i en allt mer digital värld.
Vad betyder GDPR?
Förkortningen GDPR betyder ”General Data Protection Regulation”, eller ”dataskyddsförordningen” på svenska. Det är en EU-lag som började gälla den 25 maj 2018 och ersatte den gamla personuppgiftslagen (PUL).
Lagen gäller inte bara inom EU utan också företag utanför EU som behandlar uppgifter om personer som bor inom unionen. Det innebär att till exempel amerikanska företag som samlar in data om EU-medborgare också måste följa GDPR.
GDPR i korthet
GDPR handlar om att skydda människors personliga information och ge alla rätt att bestämma över sina egna uppgifter. Lagen säger bland annat att:
- Personuppgifter bara får samlas in för tydliga och lagliga syften.
- Man måste tala om varför informationen behövs och hur den ska användas.
- Uppgifterna får inte sparas längre än nödvändigt.
- De måste skyddas mot obehörig åtkomst och dataintrång.
- Den som lämnat sina uppgifter har rätt att begära ut, rätta eller ta bort dem.
Vad räknas som personuppgifter?
Personuppgifter är all information som kan kopplas till en levande person. Det kan vara namn, personnummer, adress, mejladress, telefonnummer eller till och med en bild. Även IP-adresser och inloggningsuppgifter kan räknas som personuppgifter om de går att koppla till en viss person.
Kort sagt – om uppgiften kan identifiera någon, direkt eller indirekt, så räknas den som en personuppgift.
Varför infördes GDPR?
Innan GDPR fanns det olika regler i olika länder inom EU. Det gjorde det svårt för företag som verkade över landsgränserna och svårare för privatpersoner att veta vilka rättigheter de hade.
Dessutom hade användningen av internet och sociala medier gjort det mycket enklare att samla in stora mängder information om människor. Det fanns därför ett behov av tydligare regler som skyddar privatlivet. GDPR kom till för att skapa gemensamma regler i hela EU och för att stärka skyddet för alla som använder digitala tjänster.
Rätten till personlig integritet
Integritet betyder att varje människa har rätt att bestämma över sin egen information och sitt privatliv. Man ska själv kunna välja vilken information man delar, med vem och i vilket syfte.
Det handlar också om att kunna känna sig trygg i att företag, skolor och myndigheter hanterar informationen på ett säkert och respektfullt sätt. Ett bra skydd för integriteten skapar förtroende, minskar risken för dataintrång och gör det lättare att känna sig trygg i den digitala vardagen.
Så påverkar GDPR företag och organisationer
För företag och organisationer innebär GDPR att man måste ta stort ansvar för hur personuppgifter hanteras. Det krävs tydliga rutiner, säkra system och utbildning för personalen.
Många verksamheter behöver utse ett dataskyddsombud, som ser till att reglerna följs och att företaget agerar korrekt om något går fel. Det handlar också om att dokumentera allt arbete med dataskydd så att man kan visa upp det vid behov.
Vad händer om man bryter mot reglerna?
Om ett företag inte följer GDPR kan det bli både dyrt och skada förtroendet. Myndigheten som övervakar att reglerna följs i Sverige heter Integritetsskyddsmyndigheten (IMY). De kan ge varningar, förelägganden eller böter om ett företag missköter sig.
Böterna kan bli väldigt höga – i värsta fall upp till 20 miljoner euro eller fyra procent av företagets globala årsomsättning. Men det är inte bara pengar som står på spel, utan också kundernas förtroende och företagets rykte.
Exempel på hur företag kan arbeta med dataskydd
Det finns många sätt för företag att arbeta aktivt med GDPR. Några vanliga exempel är att göra riskbedömningar, ha tydliga rutiner vid dataintrång, skapa en integritetspolicy och utbilda sina medarbetare i dataskydd.
Företag kan också genomföra något som kallas en gap-analys – där man ser vad som redan fungerar bra och vad som behöver förbättras för att uppfylla alla krav i lagen.
Teknik och juridik i samarbete
Idag används allt mer teknik för att göra det enklare att följa lagarna. Ett exempel är samarbetet mellan revisionsföretaget PwC och teknikbolaget Harvey. Genom Harveys AI-plattform får jurister tillgång till moderna digitala verktyg som gör det möjligt att ta fram smartare och säkrare lösningar för dataskydd.
Det visar hur teknik och juridik kan gå hand i hand för att skapa tryggare hantering av information både för företag och privatpersoner.
Så kan företag få hjälp med GDPR
Alla företag klarar inte av att göra allt arbete själva, och därför finns det experter som kan hjälpa till. De kan till exempel analysera hur företaget hanterar data idag, ge råd om hur säkerheten kan förbättras och hjälpa till att skapa rutiner för framtiden.
Det kan handla om att sätta upp incidentrutiner, göra konsekvensbedömningar, granska samarbeten med andra företag eller utbilda personalen i dataskydd. Målet är att se till att företaget uppfyller alla krav och att både kunder och anställda känner sig trygga med hur deras uppgifter används.
Dina rättigheter som privatperson
Som privatperson har du rätt att veta vilken information ett företag har om dig och vad de använder den till. Du har också rätt att begära en kopia av dina uppgifter, rätta dem om de är fel eller få dem raderade om det inte längre finns någon anledning att spara dem.
Du kan dessutom säga nej till viss användning, till exempel om ett företag vill använda dina uppgifter i marknadsföring. Företaget är då skyldig att följa ditt beslut.
Framtiden för dataskydd
Dataskydd är något som ständigt utvecklas. I takt med att ny teknik som artificiell intelligens och automatiska system blir vanligare, ökar också behovet av tydliga regler. GDPR har lagt grunden för ett tryggare digitalt samhälle, men det kommer alltid att behövas nya sätt att skydda människors integritet.
Lagen påminner oss om något viktigt – att personlig information faktiskt är värdefull och att alla har rätt att ha kontroll över sin egen data.
