GDPR for dummies

Få torde ha missat att nya regler inom området dataskydd är på väg. Den som är intresserad av det torra lagtekniska kan fortsätta läsa här, medan den som är mer intresserad av sina rättigheter (och skyldigheter, för naturligtvis finns det även sådana) enligt den nya regleringen bör hoppa direkt till stycke tre.

Den 25 maj 2018 träder EU-förordningen GDPR, General Data Protection Regulation, eller Allmänna dataskyddsförordningen på svenska, ikraft. Den ersätter då den gamla Personuppgiftslagen, PUL, och syftet med den nya regleringen är att stärka skyddet för privatpersoner avseende hanteringen av personuppgifter. En annan effekt av den nya förordningen är att lagstiftningen på området blir likadan inom hela EU. Ytterligare en effekt av införandet av GDPR är att konsekvenserna av att bryta mot reglerna angående hanteringen av personuppgifter blir betydligt mer kännbara rent ekonomiskt.

Men vad är det för uppgifter som omfattas, undrar du kanske. Kort sagt är det alla uppgifter som på ett eller annat sätt kan knytas till en enskild individ, oavsett i vilka media uppgifterna förekommer. De nya reglerna gäller således allt från post-it-lappar till mejl, inlägg på sociala medier och register samt ljud och bild. De gäller dessutom oavsett vad för aktivitet den som samlat in uppgifterna väljer att hitta på med dem, exempelvis spara, använda, läsa eller sprida dem. Kort sagt är omfattningen av förordningen mycket långtgående.

Men vad betyder det hela för mig som privatperson? Jo, det innebär följande.

  • Förordningen omfattar alla personuppgifter som hanteras i annat är rent privat syfte, det vill säga företag, föreningar och privatpersoner som hanterar personuppgifter måste ta hänsyn till reglerna.
  • Om anledningen till lagringen av dina uppgifter är att du lämnat samtycke och du inte längre vill att organisationen ska ha tillgång till uppgifterna kan du dra tillbaka ditt tillstånd.
  • Organisationen är skyldig att informera dig om vilka uppgifter de sparar om du ber om det.
  • Organisationen är skyldig att ta bort, ändra eller rätta dina uppgifter om du ber om det.
  • Organisationen måste tydligt informera dig om vilka uppgifter som sparas och i vilket syfte de sparas.
  • Du har rätt att få dina personuppgifter flyttade.
  • Du har rätt att invända mot att dina uppgifter används i såväl direktmarknadsföring som profilering och automatiserat beslutsfattande.
  • Du har rätt att bli informerad om ett dataintrång som omfattar dina uppgifter skett.

Vad händer om den som registrerat mina uppgifter till exempel inte går med på att ta bort dem eller ändra dem? Oavsett om det är en svensk organisation eller exempelvis en fransk organisation som du anser handlar i strid med reglerna är det den svenska Datainspektionen du ska vända dig till och lämna in ett klagomål till. Datainspektionen gör en bedömning av om en tillsyn ska inledas och informerar därefter den som framfört klagomålet om så är fallet eller inte. Datainspektionen har tre månader på sig att besluta om en tillsyn ska inledas eller inte. Gör de inte detta är det möjligt att vända sig till domstol för besked i frågan. Detta hjälper naturligtvis någon av Advokatbyrån Limhamnsjuristens jurister gärna dig med.