Vad är egentligen GDPR och varför behövs det?

Välkommen till första delen i vår bloggserie om GDPR. Som du säkert har hört så kommer EU:s nya dataskyddsförordning, General Data Protection Regulation, att träda i kraft den 25 maj 2018, alltså om lite mer än ett halvår. Du har säkert också hört en hel del rykten, myter och skräckhistorier om hur svårt det kommer bli för företag, om hur EU bara leker polis, och om hur dyrt det kommer stå er om ni inte är 100 % undfallna GDPR när förordningen träder i kraft… Jag vill under ett par veckor underlätta och förenkla vad det egentligen handlar om, och förhoppningsvis även slå hål på ett par av de myter och skräckhistorier du säkert har hört på senaste tiden. Så häng på!

Om man börjar med grunden i GDPR så är den väldigt enkel: håll din data uppdaterad och tillgänglig för de som behöver den. Göm den från alla andra. Det låter väl rätt vettigt? Det man måste förstå när vi pratar GDPR är att det här är inte EU som försöker krångla till det för oss eller göra det svårt att som företag följa de regler och riktlinjer som finns. Det handlar till syvende och sist om respekt för alla personer och rätten till personlig integritet. Man flyttar nu alltså tillbaka makten till de personerna som uppgifterna handlar om, de så kallade datasubjekten.

Hur och varför kom GDPR till?

Tidigare hade alla EU:s medlemsländer olika dataskyddslagar, vilket blev otroligt stökigt inom sfären för EU med att hålla koll på vem som har rätt och vem som får hantera data. Men även vårt personliga användande av internet och vår förmåga att skapa oss identiteter och sprida information på internet har ökat avsevärt de senaste åren med sociala medier och appar. Hela 93 % av den svenska befolkningen är aktiva på internet, och 67 % använder sociala medier. Vi är väldigt duktiga på att sprida information om oss själva runt om i världen på alla möjliga tjänster, men vi har kanske egentligen ingen koll på var denna information tar vägen till slut eller vem som har tillgång till den. Detta har alltså bidragit till att EU har valt att genomföra denna nya förordning med förhoppningen och syftet i att kunna ge oss som privatpersoner större makt över vår egna identitet. Om jag tycker att jag har blivit illa behandlad av ett företag eller en tjänst, där jag anser att jag har lidit personlig skada, då har jag i och med denna förordning åtminstone en chans att få upprättelse och kunna kräva att mina uppgifter flyttas eller raderas.

Hur skiljer sig GDPR från PUL?

GDPR skiljer sig faktiskt inte i allt för stor utsträckning från vår nuvarande Personuppgiftslag (PUL). Många principer och bestämmelser är till stora delar samma, men de har förtydligats och anpassats till det sättet vi lever idag. Den stora skillnaden handlar främst om den som hanterar andras personuppgifter och dess ansvarsskyldighet man har gentemot dem vars personuppgifter man hanterar. Det är även ett högre krav på kontroll och att kunna bevisa för insynsmyndigheter, i vårt fall Datainspektionen, att man uppfyller regelverket och förordningens krav.

Förordningen syftar till att få en gemensam lag för dataskydd som är jämställbar med övriga världen. Så ja, man kan tycka att GDPR känns tuff och hård med sina hot om upp till 20 miljoner Euro i böter eller 4 % av er globala omsättning, baserat på vilket belopp som är högst. Den är dock faktiskt fortfarande rätt snäll om man jämför med USA eller Japan, vars dataskyddslagar är mycket tuffare, och har varit det en längre tid. Anledningen till att vi tycker att den är så tuff är för att vi jämför den med PUL, som i stort sett var tandlös. Ett riktigt grovt brott mot personuppgiftslagen, till exempel att läcka din sexuella läggning om du är minderårig, kunde resultera i en bot på cirka 3 000 kronor. Alltså i stort sett ingenting! Det känns väl som att det är dags för en uppdatering?

I nästa avsnitt kommer vi gå djupare in på de sex grundprinciper om behandling av personuppgifter som GDPR utgår från. Har man koll på dessa sex principer som företag så har man en bra, eller åtminstone bättre, chans att säkerställa att man följer förordningens krav. Vi hörs snart igen!

Känner du att du är en av de 88% som inte har tillräcklig koll på vad GDPR innebär*? Hör av dig till mig på denize.handestam@consultatum.se eller 0702 119 656 så berättar jag hur vi kan hjälpa dig!

*Enligt vår undersökning Svenska HR-trender ® 2017