Är din arbetsplats redo för GDPR?
Du har säkert redan hört talas om den nya europeiska dataskyddslagen, GDPR, som träder i kraft 25 maj 2018. Men vad innebär lagen egentligen i praktiken, och hur påverkar den ditt dagliga arbete? Experter rekommenderar företag och organisationer att redan nu se över sin verksamhet och rutiner. Hur? Vi guidar er!
Oavsett vilken bransch du arbetar inom så är sannolikheten stor att GDPR på något sätt kommer att påverka din arbetsdag. Anställda inom allt från HR, marknadsföring, rättsväsende och IT kommer behöva se över sina system, rutiner och hur man arbetar med att samla in personuppgifter.
Förslag på utbildningar
GDPR
GDPR står för General Data Protection Regulation. Lagen börjar gälla 25 maj 2018 för alla länder inom EU. I Sverige ersätter GDPR den gamla personuppgiftslagen (PUL).
Varför GDPR?
Syftet med den nya lagen är att stärka skyddet för fysiska personer vid behandling av personuppgifter. Personuppgifterna kan utgöras av information om såväl anställda som kunder eller potentiella kunder. En förhoppning från EU är att genom GDPR få fram en harmonisering bland EU:s medlemsstater gällande den här typen av regelverk. Tidigare har det varit upp till varje land att tolka direktivet om skydd av personuppgifter, men från och med 25 maj 2018 kommer alltså samma lagtext gälla i alla EU-länder.
Vad är skillnaden från PUL?
GDPR kan ses som en skärpning av PUL. Många delar från PUL återfinns i GDPR, men det finns en hel del viktiga skillnader.
Den främsta skillnaden är att företag inte längre kan äga personuppgifter utan endast låna dem. Medan PUL varit mer fokuserat på hur data ska hanteras och förvaltas först när företaget anskaffat dem, tar GDPR ett större grepp även kring hur och varför man samlar in den.
Vilka påverkas av GDPR?
Även om det största arbetet ligger hos personer som arbetar med rättsliga frågor eller IT-säkerhet, innebär lagändringen en fundamental förändring i sättet de flesta svenska företag, myndigheter och organisationer handskas med personuppgifter.
Företag och andra organisationer
- Måste informera om hur de behandlar personuppgifter, vilka uppgifter och varför.
- Måste känna till sin data och alla system som hanterar informationen.
- Måste ha ett dataskyddsombud, t ex om företaget hanterar känsliga uppgifter i stor omfattning. Dataskyddsombudet är ansvarig för att lagen följs, utbildar personal samt fungerar som kontaktperson för allmänheten.
Som företag eller organisation som hanterar personuppgifter bör ni redan nu kunna besvara dessa frågor:
- Varför har vi uppgifterna?
- Behöver vi uppgifterna?
- Hur samlas de in?
- Vem har tillgång till dem?
Privatpersoner
- Dataskyddsförordningen stärker enskildas rätt att informeras om när data samlas in och på vilket sätt de samlas in.
- Det kommer att bli lättare att slippa direktreklam.
- Rätten att bli glömd – det vill säga, som privatperson kommer man enligt nya lagen ha rätt att begära att få personliga uppgifter på sökmotorer bortplockade.
Vad händer om man inte följer lagen?
Företag som inte följer den nya lagen kan tvingas att betala stora sanktionsavgifter. Det handlar om en så kallad "administrativ sanktionsavgift" på upp till 20 miljoner EUR, eller fyra procent av företagets totala omsättning. I Sverige är det Datainspektionen som håller koll på att reglerna efterföljs, men det finns även en central dataskyddsstyrelse i EU som tar fram riktlinjer och och fattar beslut om tolkningar.
Har ni kompetensen som krävs?
Det har varit en lång och komplicerad process att ta fram lagen och första utkastet kom 2012. Det är viktigt att notera att det kommer ta tid innan det finns en praxis att följa samt hur man ska tolka lagen. Tills dess är det viktigt att följa utvecklingen, säkra upp och ta reda på vad som gäller. Datainspektionens och juristernas råd är att kontakta experter, ha ett aktivt säkerhetstänk samt utbilda sig.
Se alla utbildningar i GDPR här
Hitta kurser för dataskyddsombud
GDPR-certifiering
Företag eller organisationer som certifieras får rätt att använda ett sigill som kallas ”det europeiska sigillet för dataskydd” som kan användas i marknadskommunikation. Certifieringen utförs av ackrediterade tillsynsmyndigheter och gäller i tre år, men kan dras tillbaka om företaget inte håller sig till reglerna.