Varför ska man bry sig om GDPR?
Har du precis som jag stoppat huvudet i sanden när det kommer till den nya dataskyddsförordningen GDPR?
Den 25 maj är det dags, så låt oss titta lite närmare på vad som kommer att hända.
Varför får vi en ny lagstiftning?
Anledningen till att vi ser denna lagstiftning nu är för att EU vill stärka integritetsskyddet, undanröja digitala handelshinder inom EU och möta teknikens förändringar med en ny lag. På många sätt är lagstiftningen även en motreaktion mot det växande övervakningssamhället online, med tjänster som har koll på vad vi gör och var vi är.
- Alla behandlingar ska ha en laglig grund.
- Uppgifter får inte behandlas längre än nödvändigt, i större utsträckning än nödvändigt, m.m.
- Viss dokumentation och vissa rutiner behöver vara på plats, t.ex. personuppgiftsbiträdesavtal med de ni delar uppgifter med, information till registrerade, systemstöd för att radera uppgifter och begränsa åtkomst, m.m.
De tre viktigaste sakerna att vara införstådd med
Vi börjar med att välja tre saker som är de viktigaste att vara införstådd med och följa i sitt dataskyddsarbete.
Det är en svår fråga men generellt sett skulle vi säga dessa tre:
- Varje behandling behöver stöd i lagen, d.v.s. ha en laglig grund. Det innebär att ni alltid måste göra en bedömning om t.ex. ett visst register är lagligt.
- Lagen kräver att ett stort antal juridiska dokument finns på plats och är uppdaterade och framförallt anpassade till situationen, t.ex. information till registrerade och avtal med alla ni delar personuppgifter med.
- Ni behöver ha ett stort antal rutiner på plats för att kunna följa lagen, t.ex. någon måste föra en registerförteckning, så snart en upphandling görs av ett IT-system måste olika aspekter tas hänsyn till.
Hur ser böter och skadestånd ut i samband med GDPR?
Det har talats en del om att det kommer bli höga bötesbelopp för de som missköter sig.
De höga bötesbeloppen som det pratas om är upp till högst 4 % av den globala omsättningen eller 20 000 000 EUR. Detta är alltså de bötesbelopp myndigheterna kan besluta om.
Men vem är det då som bedömer och sköter granskningen? I Sverige är det Datainspektionen som är tillsynsmyndighet. En gemensam dataskyddsstyrelse ska bistå med vägledning kring nivåerna för böterna.
Böter är en sak, men det har även talats en del om skadestånd.
Finns det några maxsummor för dessa? Och vem kommer att kunna utkräva skadestånd för brister i dataskyddet? Är det underleverantörer, företagskunder, till och med privatkonsumenter?
Ja, varje person som har tagit skada till följd av en överträdelse av förordningen ska ha rätt till skadestånd från den personuppgiftsansvarige. Det kan även bli aktuellt med att skadestånd krävs mellan företag som utbytt personuppgifter med varandra. Vilka summor det handlar om beror på vilken skada individen lidit.
Vad händer nu?
Ingenting är hugget i sten innan GDPR har tagits upp ett par gånger i domstol, men vänta inte tills dess. Det kommer att krävas förändringar både hos företagsledare men även hos personal som hanterar personuppgifter.
Så dyk ner på djupet och bli grym på vår nya lagstiftning så att du kan sitta lugnt i båten den 25 maj.
Anton Samuelsson