Hur företag påverkas av GDPR

EU:s nya dataskyddsförordning GDPR (general data protection regulation) började gälla i maj 2018. I Sverige ersatte den personuppgiftslagen (PUL), och är, till skillnad från PUL, överstatlig.

Skillnader mot innan

En skillnad som föreligger jämfört med tidigare är att ett företag numer inte kan anses äga en persons uppgifter, utan företaget får bara låna någons uppgifter. Det gör att all informationsinsamling måste ske aktivt och inte på slentrian. Ett företag får bara besitta någons uppgifter om en relevant avsikt finns. Numer måste man alltså noga tänka igenom varför man samlar in uppgifter, och de vars uppgifter “lånas ut” måste godkänna detta och vara införstådda med varför det sker.

En rättighet som finns är den att bli glömd, det vill säga att få sina uppgifter raderade. Det ska ske efter en viss tidsperiod ifall till exempel ett företag inte behöver uppgifterna längre, eller ifall man som privatperson begär det av företaget. Det här gör att företag inte kan samla in uppgifter och sedan vägra att göra sig av med dem.

Vad man bör tänka på

På till exempel ett företag (eller någon annan organisation) är det alltså viktigt att ingen informationsinsamling får ske ogenomtänkt utan tydlig avsikt. Skulle ett intrång i en databas ha skett och ifall det finns en risk att uppgifter har hamnat i felaktiga händer måste företaget rapportera det till både dataskyddsinspektionen och de berörda parterna vars uppgifter har läckts. Skulle det visa sig att uppgifter på något sätt har hanterats felaktigt kan mycket dryga böter vara att vänta, så investeringar i en säker hantering kan vara mycket kloka att göra. Ett företag som tydligt kan redovisa att det genomför en säker hantering som man kan lita på kommer vinna trovärdighet hos kunder.

Som privatperson bör man vara noga med sina uppgifter och vilka som får ta del av dem. Man ska komma ihåg att något som till exempel är lagligt och tillåtet idag inte behöver vara det vid andra tillfällen.