På bussen, vid middagen, längs gatorna och på nätet. Överallt hör vi folk som pratar om de fyra bokstäverna GDPR, som står för General Data Protection Regulation. På svenska säger vi dataskyddsförordningen. Allt snack du hör beror på att GDPR börjar gälla den 25 maj, och innehåller en hel del förändringar kring hur företag, organisationer och myndigheter får behandla personuppgifter.

Alla EU-medlemsländer omfattas av de nya reglerna. I Sverige är det Datainspektionen som har ansvaret att se till så att GDPR följs.

Sedan ett par månader tillbaka kämpar hundratusentals företag med att GDPR-anpassa sina verksamheter. Regelverket kräver både tid och energi att sätta sig in i – och i den här artikeln ska vi reda ut hur du som privatperson påverkas.

Varför införs GDPR?

Behovet av ett gemensamt och likvärdigt skydd av personuppgifter inom EU har varit på tapeten i flera år. Samma regler ska gälla för din data oavsett om den behandlas i Sverige, Rumänien eller Litauen.

1995 kom föregångaren dataskyddsdirektivet som etablerade vissa riktlinjer för personuppgiftsbehandling inom EU. GDPR är delvis en uppfräschning av dessa riktlinjer för att anpassa dem till ett mer digitalt samhälle. Det enskilt största syftet med GDPR är att ge EU-medborgarnas personuppgifter ett bättre skydd.

Men i Sverige har vi ju redan PUL...?

Jäpp. Men Personuppgiftslagen, som den heter, ersätts av GDPR den 25 maj 2018. PUL är Sveriges implementering av det dataskyddsdirektiv som klubbades 1995. Mycket av den svenska lagen kommer även att återfinnas inom GDPR.

Men det tillkommer också nyheter. En av dem är att du har rätt att få tillbaka den data som ett företag har om dig och flytta den till en annan tjänst. Detta kallas dataportabilitet. Kraven blir också hårdare på att företag ska kunna bevisa att du gett samtycke till att de behandlar dina personuppgifter. Du har också rätt att begära en ändring av din information om du märker att ett företag sitter på felaktig sådan. Brott mot GDPR kan straffas hårt – med upp till 20 miljoner euro, eller cirka fyra procent av ett företags globala omsättning.

GDPR
Inte bara mejl. Flera av de stora tjänsterna, som Instagram och Linkedin, kräver att du granskar deras nya policyer för att få fortsätta använda tjänsterna.

Varför får jag drivor av mejl med nya sekretesspolicyer?

För att GDPR kräver mer transparens och redovisning kring hur olika tjänster behandlar dina personuppgifter. Det kräver i sin tur att företagen bakom tjänsterna ser över sina sekretessavtal så att de överensstämmer med de nya reglerna. Den 22 maj publicerade exempelvis Spotify sina nya villkor. Här klargörs att kunderna har rätt att få åtkomst till de personuppgifter som finns lagrade på tjänsten, rätt att få sin data raderad och/eller korrigera den. Bland mycket annat. Exemplet kan du läsa här. För att läsa IDG:s personuppgiftspolicy kan du följa den här länken.

– En av hörnstenarna i GDPR är just tydlighet. Förordningen kräver att informationen om personuppgiftsbehandling är enkel och lättåtkomlig. Du ska inte behöva läsa igenom finstilt text eller bläddra runt bland en massa sidor i policyn, säger Camilla Sparr som är jurist på Datainspektionen.

Hur exakt stärks min personliga integritet efter 25 maj?

– Mycket handlar som sagt om att företagen ska bli mer transparenta med hur dina personuppgifter behandlas. Det kommer att bli tydligt vilka omfattande rättigheter du som privatperson har kring radering och överföring av dina data. Tidigare har ostrukturerad och icke-sökbar information undantagits, men den särregleringen upphör att gälla med GDPR. Potentiellt sett har du rätt att begära ut rätt mycket, säger Camilla Sparr. 

Den här "rätten att bli glömd" – vad är det egentligen?

– Rätten att bli raderad har i vissa fall marknadsförts som en GDPR-nyhet, men har i själva verket funnits även tidigare. Men nu blir det tydligare under vilka förutsättningar som rätten gäller. I de grundläggande principerna står att man bara får hantera personuppgifter för ett specifikt ändamål. Om syftet slutar att gälla, eller om du drar tillbaka ditt samtycke kring personuppgiftshanteringen inom ramen för en viss tjänst, kan du begära att ett företag tar bort dina data ur sitt register. 

Sida 1 / 2

Innehållsförteckning