Skip to main content

GDPR

TL; DR

General Data Protection Regulation (GDPR)är en av de strängaste integritets- och säkerhetslagarna i världen. Även om förordningen har utarbetats och godkänts av EU, ålägger den organisationer skyldigheter oavsett var de är verksamma, så länge de riktar in sig på eller samlar in data om människor i EU. Förordningen trädde i kraft den 25 maj 2018. GDPR tar ut bötermot dem som bryter mot dess integritets- och säkerhetsstandarder, med sanktioner som uppgår till tiotals miljoner euro.

Vad är GDPR?

GDPR (General Data Protection Regulation) är en lag för EU:s dataskydds- och integritetslagstiftning inom EU och EES samt överföring av personuppgifter utanför EU och EES. Huvudsyftet med GDPR är att ge individer kontroll över sina personuppgifteroch att förenkla den reglerande miljön för internationella angelägenheter genom att förena integritetslagar i Europeiska Unionen. Förordningen är tvingandeoch alla organisationer som innehar eller behandlar personuppgifter måste följa.

Reglerna trädde i kraft den 25 maj 2018 och återspeglades i 2018 års dataskyddslag. Förordningen gäller både ”operatörer” och ”databehandlare” och omfattar gamla regler som konsoliderats, samt ett antal nya rättigheter för registrerade.

Vad är personuppgifter?

Personuppgifter är uppgifter som avser en person som kan identifieras direkt eller indirekt och som är:

  • elektroniskt behandlad;
  • förvaras i arkiv;
  • del av en tillgänglig uppsättning information, till exempel utbildningsinformation;
  • innehas av en offentlig myndighet;
  • inte nödvändigtvis personspecifikt, men som leder till deras identifiering;
  • Exempel: namn, e-postadresser, plats, religion, etnicitet, kön, data lagrad i webbcookies, IP:er, politiska åsikter, biometriska data, etc.

GDPR-principer

Personuppgifter bör behandlas rättvist, lagligt och öppet.

  • Uppgifter bör samlas in för definierade och legitima ändamål och bör inte behandlas vidare på ett sätt som är oförenligt med dessa ändamål.
  • Uppgifterna bör inte vara överdrivna, utan endast behandla så mycket data som är absolut nödvändigt.
  • Uppgifterna ska vara korrekta och vid behov uppdaterade.
  • Data bör inte lagras längre än nödvändigt.
  • Data måste förvaras säkert.
  • Chefer är ansvariga för vilken typ av personuppgifter de samlar in och hur de använder dem. Anställda bör inte avslöja personuppgifter utanför organisationens rutiner eller använda personuppgifter som innehas av andra för sina egna syften.

För vem gäller GDPR?

GDPR gäller för alla organisationer som är verksamma i EU, såväl som för alla organisationer utanför EU som tillhandahåller varor eller tjänster till EU-kunder eller företag. Detta inkluderar alla webbplatser som samlar in data direkt, för sitt eget syfte eller, indirekt, för appar och verktyg från tredje part (t.ex. Google Analytics) om sina besökare.

En person som har data om en annan person på ett personligt plan, till exempel telefonnumret till en familjemedlem lagrat i en telefon, behöver inte ta hänsyn till GDPR för denna data.