GDPR-lagen är den europeiska dataskyddsförordningen som styr hur personuppgifter ska hanteras inom EU. I praktiken innebär GDPR att företag, myndigheter och organisationer måste hantera personuppgifter på ett lagligt, säkert och transparent sätt. Privatpersoner får stärkt kontroll över sina personuppgifter och har exempelvis rätt att bli informerade, få tillgång till sin data och begära att den raderas.

Vad är GDPR-lagen?

GDPR-lagen (General Data Protection Regulation) är den lagstiftning som i huvudsak reglerar hur personuppgifter får samlas in, lagras, användas och delas i EU. Lagen skyddar individers rättigheter och ger strikta regler för hantering av bland annat namn, personnummer, e-post, bilder och andra uppgifter som kan knytas till en enskild individ. I praktiken kräver detta att organisationer informerar om varför och hur de behandlar personuppgifter, har tydliga rutiner och endast behandlar data när det finns rättslig grund. Både privata företag och myndigheter är ansvariga för att följa dessa regler.

När kom den?

Den nuvarandeGDPR-lagen började gälla den 25 maj 2018, och ersatte då bland annat den tidigare personuppgiftslagen i Sverige. Lagen introducerades för att ge en gemensam och starkare dataskyddsreglering kring personuppgifter och minska skillnader mellan EU:s medlemsländer.

GDPR-lagen – vad gäller för företag och privatpersoner?

GDPR-lagen gäller i princip för alla som hanterar personuppgifter, men vad GDPR innebär i praktiken skiljer sig åt mellan företag och privatpersoner, sett till vilka skyldigheter och rättigheter man har.

Företag och organisationer måste:

• Säkerställa att all behandling av personuppgifter har ett tydligt syfte och sker på ett lagligt sätt
• Informera berörda om insamling och ändamål
• Begränsa lagringen och endast samla in berättigade uppgifter
• Införa säkerhetsåtgärder för att skydda personuppgifterna
• Dokumentera hanteringen och rapportera incidenter vid läckor
• I vissa fall utse ett dataskyddsombud

Privatpersoner har rätt att:

• Få information om hur personuppgifter behandlas
• Begära registerutdrag eller rättelse
• Kräva att uppgifterna raderas
• Återkalla sitt samtycke

GDPR-lagen skyddar personuppgifter

Personuppgifter är all information som direkt eller indirekt kan kopplas till en levande individ, såsom namn, adress, foto, IP-adress eller personnummer. GDPR-lagen ställer höga krav på att personuppgifter skyddas så att de används på rätt sätt, inte sprids till obehöriga och inte lagras längre än nödvändigt.

Hantering av känsliga personuppgifter

Enligt GDPR-lagen finns särskilt stränga regler för så kallade känsliga personuppgifter, vilket är de uppgifter som exempelvis berör en persons hälsa, politiska åsikter, etnicitet eller religiösa övertygelse. Förutom i undantagsfall, där ändamålet är mycket tydligt och berättigat, får dessa uppgifter inte behandlas.

Då gäller den inte

Lagen gäller inte när en privatperson behandlar personuppgifter för enbart privata syften, exempelvis när du sparar telefonnummer i din privata adressbok (fysisk eller digital) eller lägger ut bilder på ett privat konto på sociala medier. GDPR-lagen kan dock börja gälla även i dessa fall om du till exempel sprider din telefonbok till många och använder bilderna för offentliga eller kommersiella sammanhang.

Undantag kopplade till informations- och yttrandefrihet

GDPR-lagen har undantag för att inte inskränka yttrandefrihet, pressfrihet och tillgång till offentliga handlingar. Det innebär exempelvis att journalistisk verksamhet och myndigheters hantering av offentliga dokument kan undantas från vissa krav i lagen. Samtidigt är myndigheter ändå skyldiga att upprätthålla skyddet för personuppgifter vid behandling i många andra sammanhang.

Hur säkerställer man att lagen följs?

För att följa GDPR-lagen måste företag och organisationer ha tydliga rutiner, utbilda personalen och säkerställa att rätt säkerhetsåtgärder finns på plats. Det är klokt att ta hjälp av en GDPR-konsult eller ett externt dataskyddsombud, och för många organisationer är det krav på att utse ett dataskyddsombud.

Om en organisation bryter mot GDPR-lagen kan Integritetsskyddsmyndigheten (IMY) utfärda varningar, förbud och sanktionsavgifter. Verksamheten kan också bli skyldig till stora skadestånd.