Vad är GDPR?

Vad är GDPR?

GPDR står för General Data Protection Regulation och är Europeiska unionens dataskyddsförordning. Att det är en EU-förordning betyder att reglerna gäller för alla länder inom EU/EES. 

GDPR ställer upp regler som innebär att alla branscher och organisationer måste ha rutiner och processer för att hantera personlig och känslig information om sina anställda och kunder. Genom GDPR skyddas vårt privatliv på internet och vi kan själva bestämma vem eller vilka som ska ha tillgång till uppgifter om oss. 

Dataskyddsförordningen har två grundläggande syften:

1. Att skydda fysiska personer med avseende på behandlingen av personuppgifter 
2. Att skapa förutsättningar för det fria flödet av personuppgifter inom unionen 

Varför finns GDPR? 

Rätten till privatliv är en del av den europeiska konventionen om mänskliga rättigheter. Enligt konventionen har “var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens”. Allt eftersom tekniken utvecklas och internet blivit en del av de flesta människors vardag har ett behov vuxit fram av ett skydd som omfattar även privatlivet på internet. Sedan 1995 har EU ställt upp regler gällande dataskydd och det är dessa som utvecklats till den dataskyddsförordning vi har idag – GDPR. 

Vad är personuppgifter och databehandling?

Personuppgifter är all information som direkt eller indirekt kan identifiera en individ. Klassiska exempel är information som namn och e-postadresser. Andra personuppgifter kan vara platsinformation, etnicitet, kön, religiös övertygelse eller politiska åsikter. Till databehandling räknas till exempel att samla in, spela in, lagra, organisera, strukturera, använda eller radera information.

Vad behöver jag som företagare veta om GDPR? 

Om du har ett företag och behandlar personuppgifter måste du följa sju skydds- och ansvarsprinciper som beskrivs i GDPR. Dessa är: 

1. Laglighet, korrekthet och öppenhet - Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till användaren.
2. Ändamålsbegränsning - Uppgifterna får bara samlas in om det är för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet ska vara uttryckt för den vars uppgifter samlas in.
3. Uppgiftsminimering - Du får bara samla in så mycket data som är absolut nödvändigt för de angivna ändamålen.
4. Riktighet - Personuppgifterna måste vara korrekta och hållas uppdaterade. Uppgifter som är felaktiga måste raderas eller rättas utan att det har gått för lång tid.
5. Lagringsminimering - Personuppgifterna får endast lagras så länge det är nödvändigt för ändamålet.
6. Integritet och konfidentialitet - Behandlingen av personuppgifter måste göras på ett lämpligt och säkert sätt. Säkerhet, integritet och konfidentialitet ska garanteras.
7. Ansvarsskyldighet - Den som är personuppgiftsansvarig ska ansvara för och kunna bevisa att GDPR och alla dess principer följs. 

Om du är osäker på ifall du behöver tänka på GDPR  kan du läsa mer om hur det kan påverka ditt företag här.

Samtycke 

Du kanske känner igen att du ofta behöver samtycka till att dina personuppgifter behandlas när du surfar runt på internet. Det finns en anledning till detta. Genom GDPR finns nämligen strikta regler om att det krävs samtycke för att personuppgifter ska få behandlas. Dessutom finns särskilda regler för vad som utgör ett legitimt samtycke. Samtycket måste vara fritt givet, specifikt, välinformerat och tydligt.

Förfrågningar om samtycke måste vara tydligt särskiljbara från andra ärenden och presenteras på ett klart och tydligt språk. Man ska kunna återkalla sitt samtycke när som helst, och detta ska alltid accepteras. Barn under 13 år kan bara ge sitt samtycke med tillstånd från en förälder.