GDPR står för General Data Protective Regulation, och är en ny dataskyddsförordning som ska gälla i samtliga EU-länder från och med den 25 maj 2018. GDPR slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person. Meningen med den nya lagstiftningen är att skapa ett effektivt skydd av personuppgifter över hela unionen. I samband med att dataskyddsförordningen börjar tillämpas upphör också den snart 20 år gamla personuppgiftslagen (PUL) att gälla.

Det är bara yrkes-eller affärsmässig verksamhet som omfattas av förordningen. Det går alltså även fortsättningsvis bra för dig som privatperson att skriva upp telefonnummer och adresser i din adressbok, både i din papperskalender såväl som i din digitala kalender, utan att detta kommer att regleras genom GDPR. Företag, myndigheter och andra organisationer omfattas däremot av de nya bestämmelserna.

GDPR innebär ett stopp för slentrianmässigt insamlande av personuppgifter, och den som vill lagra en personuppgift måste i framtiden tänka igenom varför man gör det, och vilka personuppgifter det alls finns anledning att samla in. Tänk på att GDPR också omfattar sådan lagring av personuppgifter som rör din egen personal.

Behandlar du personuppgifter måste du kunna svara jakande på frågan: Har du rättslig grund för att samla in personuppgiften och för att lagra denna? Rent generellt kan sägas att behandlingen är laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal. Om det finns ett berättigat intresse, till exempel i sådana situationer där den registrerade är kund hos, eller arbetar för, den som samlar in personuppgiften kan detta också utgöra rättslig grund för behandlingen. Ändamålen med insamlingen av personuppgifter måste dock vara tydliga och legitima och ska ha bestämts redan vid den tidpunkt du samlar in personuppgiften.

En annan rättslig grund kan vara att den registrerade i fråga lämnat sitt samtycke till att du behandlar personuppgifter om honom/henne, och till hur företaget tänker använda sig av uppgifterna i framtiden. Till skillnad mot PUL måste ett samtycke från den registrerade vara frivilligt, och ändamålet med hanteringen ska tydligt framgå och vara lättläst. Det ska även vara lika enkelt att återkalla ett samtycke som det var att initialt lämna samtycket. GDPR innebär för privatpersoners del att det till exempel kan bli lättare att undvika direktreklam, antingen genom att man väljer att inte lämna sitt samtycke från första början, eller genom att det ska vara enkelt att återkalla sitt samtycke om man inte längre godtar behandlingen av ens personuppgifter för just det ändamålet.

För att påvisa att dataskyddförordningen följs ska du som hanterar personuppgifter föra register över den behandling som sker under ditt ansvar. Företag är skyldiga att samarbeta med tillsynsmyndigheten (Datainspektionen) och på dennes begäran göra registret tillgängligt för myndigheten.

Nytt är också att den period personuppgifter får lagras begränsas till ett strikt minimum (uppgiftsminimering). Du bör alltså införa tidsfrister för radering, eller för regelbunden kontroll för att säkerställa att personuppgifter inte sparas längre än nödvändigt.

Företaget behöver också skydda personuppgifterna så att obehöriga inte kan få tillgång till dem. Dataskyddsförordningen medför regleringar kring dataskydd och tekniska lösningar för att skydda personuppgifter. De ska behandlas på ett sätt som säkerställer lämplig säkerhet och förhindrar obehöriga tillträde till personuppgifterna och den utrustning som används för behandlingen (inbyggt skydd). I vissa fall föreligger en anmälningsplikt till Datainspektionen inom 72 timmar vid dataintrång eller förlust av data. Företaget bör därför ta fram rutiner för vem på företaget som ska hantera frågor om till exempel en anställd förlorar sin laptop, eller i händelse av dataintrång.

Många av reglerna i GDPR finns redan i PUL men själva inhämtningen av personuppgifter, och även hur de får hanteras under tiden de lagras hos dig, har genom dataskyddsförordningen nu blivit mer strikt reglerat. De nya reglerna är också förenade med risk för mycket höga sanktionsavgifter för den som bryter mot dataskyddsförordningen. Det finns all anledning att redan nu börja inventera och framförallt dokumentera hur just ditt företag samlar in, behandlar och skyddar de personuppgifter som hanteras i verksamheten.

Är det inte redan gjort när jul och nyårshelgerna är över, är det alltså dags för en storstädning av registren. Nu ska PUL: en ut!

Aff. jur. mag. Karin Langlois