GDPR

Europeiska Unionens nya lag för datahantering av personuppgifter, General Data Protection Regulation (GDPR), ersatte den 25 maj 2018 Personuppgiftslagen (PUL). Detta innebär den största förändring inom datahantering sedan PUL trädde i kraft 1998, då PUL är en föråldrad lag i en tid med sociala medier och smartphones.

Dem största förändringarna innebär följande:

“Missbruksregeln” försvinner

Tidigare i Sverige har vi haft enklare regler för personuppgifter i ostrukturerat material, den så kallade missbruksregeln, men med dataskyddsförordningen gäller inte denna längre. Nu gäller samma regler för alla personuppgifter.

Hårdare straff

Under GDPR har straffen höjts betydligt jämfört med vad dem var under PUL. Straffet kan landa på upp till 20 miljoner euro eller fyra procent av företagets årsomsättning.

Nya rollen “dataskyddsombud” införs

Det har införts en ny roll, dataskyddsombud, som är ett krav inom myndigheter, stora organisationer samt mindre organisationer som hanterar särskilt känsliga personuppgifter.

Strängare regler om samtycke

Företag måste kunna framföra bevis för att samtycke har getts vid insamling för särskilda personuppgifter. Detta samtycke skall även kunna hävas när som helst.

Vad har hänt sedan GDPR?

Det har snart gått 3 månader sedan GDPR trädde i kraft. Sedan dess har det hänt en hel del, bland annat har flera amerikanska nyhetssajter valt att sluta publicera sina tidningar online för användare inom EU, däribland LA Times, Chicago Tribune och New York Daily News.

GDPR har också ökat medvetenheten hos konsumenter angående vad deras personuppgifter används till. Under månaderna maj och juni skickades det ut mer information angående dataskydd i Europa än vad det någonsin gjorts tidigare. Detta har lett till att många företag har rapporterat en förlust på cirka 25% till 40% av deras nåbara marknad. Det gäller kunder eller potentiella kunder som inte gett sitt samtycke till att delta i marknadsföringskommunikation eller att profileras och som därför har gått förlorade.

Inom Sverige påbörjade Datainspektionen sina första granskningar av ca 80 myndigheter, företag och organisationer redan efter två veckor. Denna granskning innebar att företag och myndigheter var skyldiga att bevisa att man tillsatt de dataskyddsombud som lagen kräver. Lagen säger även att det finns en skyldighet bland företag och organisationer att anmäla till Datainspektionen när det finns en risk att personuppgifter har hamnat i fel händer, och det tog inte mer än en vecka innan Datainspektionen började motta anmälningar kring detta.

Kort sammanfattning om vad GDPR är

Företag förväntas implementera åtgärder för att skydda data samt ta tekniska och organisatoriska steg för att säkerställa individens integritet. GDPR gör företagen skyldiga att bevisa att de följer GDPR-överensstämmelser och att rimliga åtgärder har vidtagits för att skydda människors personuppgifter. Lagen kräver även att företag säkerställer att det finns system och processer som kan testa, övervaka och mäta datasäkerheten när det krävs.   

Vad har Calcey gjort?

Som en extern utvecklare till klienter inom Europa gör vi på Calcey inget som  samlar in personuppgifter om europeiska medborgare, vilket gör att vi inte hamnar inom GDPRs räckvidd. Vi har även innan GDPR trädde i kraft minimerat åtkomsten till känsliga uppgifter angående våra kunder och samarbetspartners, vilket i sig gör att vi minimerat vår exponering. Med denna grund, att du inte kan gå miste om (och inte heller missbruka) något du inte har, är logiskt, men att faktiskt följa reglerna som GDPR innebär kräver mycket mer.

Eftersom Calcey är ett techserviceföretag som förser utvecklingsmöjligheter inom IT till snabbt växande företag faller vi inte inom ramarna för att bli en data controller. I och med våra nuvarande uppdrag tillsammans med Calceys europeiska kunder är vi istället data processors. Detta leder till att Calcey har genomfört åtgärder med fokus på följande:

  • Få dataskyddsavtal på plats med data controllers för att formalisera förvaltningen av data
  • Utbilda våra medarbetare om de krav, risker och ansvarsområden som GDPR skapar
  • Minimera tillgången till känslig data och använda anonymisering/ pseudonymisering för att minimera riskerna vid intrång
  • Genomföra en internrevision för att identifiera, bedöma, mildra och minimera risker, även om Calceys exponering för känsliga data minimeras av ovanstående.
  • Vi har skapat standarder för internetanvändning, hantering / hosting av klientdata, användning av hårdvara på kontoret etc för att minimera de identifierade riskerna

Hur vi behandlar personuppgifter kommer med all säkerhet vara något som, tack vare GDPR, alltid diskuteras in i minsta detalj vid starten av nya projekt. Den slappa inställningen till hur man hanterar data är något som numera tillhör det förflutna.

Referenser:

https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/samma-regler-for-alla/

https://chef.se/5-viktiga-skillnader-mellan-pul-och-gdpr/

https://www.resume.se/nyheter/artiklar/2018/08/08/efter-gdpr-amerikanska-medier-blockar-europeiska-besokare/

https://www.dagensmedia.se/marknadsforing/efter-gdpr-datainspektionen-inleder-sin-forsta-granskning-6918783

https://www.zdnet.com/article/gdpr-whats-really-changed-so-far/