GDPR står för General Data Protection Regulation och är den europeiska personuppgiftsförordningen som trädde i kraft den 25 maj 2018.
Vad är GDPR och hur påverkar det din organisation?

Vad är GDPR och hur påverkar det din organisation?

Time Reading
7 minuters läsning
GDPR

Du kanske har hört talas om GDPR tidigare - men vad innebär det egentligen? GDPR innefattar datasäkerhet och behandlingen av enskilda individers personuppgifter. Även om detta till en början kan låta komplext är det viktigt att förstå vad GDPR innebär för din organisation.

Om GDPR inte efterföljs kan det få stora konsekvenser för din organisation, bland annat i form av böter och rättsliga påföljder. Därför är det viktigt att förstå och följa dataskyddsförordningen eftersom det kan påverka din organisations fortsatta framgång och möjligheter att utvecklas och överleva på marknaden.

Vad är GDPR? 

GDPR förkortning för General Data Protection Regulation -  är den europeiska allmänna dataskyddsförordningen, som trädde i kraft den 25 maj 2018 med syfte att stärka och effektivisera skyddet av personuppgifter i Europa.

Kort sagt ger GDPR individer större kontroll över sina personuppgifter. Samtidigt hålls organisationer ansvariga för sin hantering och sitt skydd av personuppgifter - oavsett om de är belägna inom EU eller inte.

Detta ställer även krav på organisationer och verksamheter, eftersom det inte räcker med att bara skapa en dataskyddsstrategi. Organisationen måste visa hur den följer GDPR i praktiken genom att bevisa att de har interna rutiner och att policyer följs. Om en organisation inte kan dokumentera sitt GDPR-arbete existerar den inte - åtminstone inte i integritetsmyndighetens ögon - vilket kan få långtgående konsekvenser för den organisationen.

För vem gäller GDPR?

Det korta svaret är alla. Det finns inte en enda organisation idag som inte behandlar personuppgifter på ett eller annat sätt. Alla måste därför se över hur man bäst uppfyller de europeiska lagkraven så länge man verkar inom EU:s gränser och/eller behandlar uppgifter om EU-medborgare.

Det innebär att oavsett om du säljer hemstickade mössor eller arbetar i en stor organisation så behöver du ta ställning till GDPR. Däremot kan vissa organisationer påverkas olika av GDPR - både i mindre och i större utsträckning. Omfattningen av efterlevnaden av GDPR beror på organisationens tjänster och storlek, samt hur mycket känsliga personuppgifter som finns inom organisationen.

Varför är GDPR viktigt? 

GDPR är en viktig förordning för alla i det moderna samhället, som ger medborgarna ett starkt skydd för deras personuppgifter och integritet.

I den digitala tidsåldern, där vår personliga information ofta är spridd över olika plattformar och tjänster, är det avgörande att ha en förordning som kan garantera säkerhet och konfidentialitet.

GDPR säkerställer också att organisationer tar ansvar för sin behandling av personligt identifierbar information och vidtar nödvändiga åtgärder för att skydda den.

Efterlevnad av GDPR är också viktigt för företag och organisationer, eftersom bristande efterlevnad kan få allvarliga konsekvenser, inklusive höga böter och skadat anseende, vilket kan ha en negativ inverkan på vinster och tillväxtpotential. Organisationer som säkerställer efterlevnad av GDPR kan dessutom öka sitt säkra affärsvärde genom att bygga förtroende och på så sätt särskilja sig från konkurrenter som inte tar dataskydd på allvar.

LÄS MER: Utnyttja affärsvärdet av GDPR

Personuppgiftsansvarig eller personuppgiftsbiträde?

GDPR skiljer mellan två olika roller som en organisation kan ta på sig vid behandling av uppgifter. Det är viktigt att din organisation alltid är medveten om vilken roll den har när den behandlar uppgifter, eftersom kraven på personuppgiftsansvariga och personuppgiftsbiträden skiljer sig åt.

Personuppgiftsansvarig: 

Den personuppgiftsansvarige är den person eller verksamhet som ansvarar för de personuppgifter som samlas in och därmed också ansvarar för att uppgifterna hanteras i enlighet med GDPR. Den personuppgiftsansvarige är den som ansvarar för följande:

  • Syftet med behandlingen av personuppgifter.
  • På vilket sätt personuppgifterna ska behandlas.
  • Vem som är behörig att behandla personuppgifterna

På samma sätt är det den personuppgiftsansvarige som den registrerade ska kontakta om denne vill utöva sina rättigheter.

Personuppgiftsbiträde: 

Ett personuppgiftsbiträde är en person eller enhet som lagrar och/eller behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Till skillnad från den personuppgiftsansvarige bestämmer inte personuppgiftsbiträdet syftet med behandlingen.

När ett personuppgiftsbiträde hanterar personuppgifter för den personuppgiftsansvarige räkning har denne skyldigheter. Bland annat ska det finnas ett formellt, skriftligt avtal som sätter ramarna för personuppgiftsbehandlingen - ett personuppgiftsbiträdesavtal - och personuppgiftsbiträde ska endast behandla personuppgifterna i enlighet med detta. Det kommer att vara den personuppgiftsansvariges skyldighet och ansvar att se till att ett sådant avtal finns på plats, eftersom det i slutändan är den personuppgiftsansvarige ansvar att se till att GDPR-reglerna efterlevs.

Olika typer av personligt identifierbar information

GDPR arbetar med två kategorier av personuppgifter: allmänna och känsliga. I detta fall görs det ingen distinktion mellan den registrerades privata eller professionella roll. I B2B-situationer måste organisationen därför fortfarande skydda personuppgifter som rör den registrerade som interageras med.

Vad är allmänna personuppgifter?

Allmänna personuppgifter kategoriseras som alla typer av personuppgifter som inte definieras som känsliga. Det kan vara identifieringsinformation som namn, adress och e-post eller annan information som finansiell information, familjeinformation, arbetsinformation eller heminformation.

Eftersom personuppgifter förekommer i många olika former är det viktigt att hålla reda på dem alla i din organisation. En organisation bör därför se över alla arbetsprocesser med GDPR-glasögon på för att identifiera dataflöden. En porträttbild av en medarbetare på webbplatsen är till exempel också en personuppgift. Ett tyst samtycke till att lägga ut bilden på hemsidan räcker inte, eftersom det inte uppfyller kraven i GDPR.

Vad är känsliga personuppgifter? 

Känsliga personuppgifter definieras tydligt i GDPR, eftersom denna kategori av uppgifter måste vara entydig. Detta beror på att det krävs ett antal behandlingstillstånd för att behandla sådana uppgifter.

Känsliga personuppgifter klassificeras som:

  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Medlemskap i fackförening
  • Religiös eller filosofisk övertygelse
  • Genetiska uppgifter
  • Biometriska uppgifter i syfte att skapa en unik identifiering
  • Information om en individs sexualliv eller sexuella läggning.

Känsliga personuppgifter specificeras tydligt i GDPR, för att det inte ska råda några tvivel om vilka uppgifter det innefattar. För att dessa ska få hanteras och behandlas krävs det behandlingstillstånd.  

Vad händer om din organisation inte uppfyller kraven i GDPR? 

Om din databehandling inte uppfyller kraven i GDPR kan konsekvenserna bli betydande i form av ersättningskrav och böter på upp till 4% av din organisations globala omsättning eller en sanktionsavgift på 200 miljoner kronor, beroende på vilket som är högst vid tillfället.

Utöver de ekonomiska konsekvenserna kan bristande efterlevnad av GDPR skada organisationens rykte och leda till bristande förtroende. Detta kan leda till minskad försäljning, färre kunder och leverantörer. Långsiktiga konsekvenser som det kan vara svårt för en organisation att återhämta sig från.

LÄS OCKSÅ: Raderingspolicy – då måste personuppgifter raderas

 
Logo

Andra artiklar

Samverkan mellan GDPR och ISMS ger stora fördelar

Time Reading
4 minuters läsning
GDPR

Guide: Så hanterar du riskbedömningar i GDPR

Time Reading
10 minuters läsning
GDPR

Förstå affärsnyttan med CSRD

Time Reading
7 minuters läsning
ESG