Den korta sammanfattningen gör Martin Brinnen, jurist på Datainspektionen. Han förklarar också att mycket i den nya EU-förordningen för hantering av personuppgifter finns kvar från det dataskyddsdirektiv som kom redan 1995, och som är basen i den svenska personuppgiftslagen (PUL).

– Om man har gjort sin läxa i samband med PUL så innebär GDPR inte så stora förändringar. Problemet är att det är många som inte gjort den läxan och därför får mycket jobb nu, konstaterar han.

Det som fått företag och organisationer att vakna till är att det i GDPR ingår möjlighet att döma de som inte följer den till dryga böter. Det kan röra sig om belopp på upp till 20 miljoner Euro, eller 4 procent av den globala årsomsättningen.

– Men om man kan visa att man gjort det man kan och om man agerar på ett ärligt och öppet sätt så minskar riskerna för sanktioner och storleken på eventuella böter minskar också, förklarar Martin Brinnen.

Det finns även en proportionalitetsbedömning integrerad i GDPR som innebär att ju mer integritetskänsliga uppgifter man hanterar, desto större ansvar och skyldigheter har man.

 

Vissa specialnyheter

 

Utöver de mer generella nyheterna ovan finns även vissa mer specifika nyheter i GDPR, exempelvis:

  • Skriva på tangentbord. Foto - UnsplashDe som hanterar personuppgifter för annans räkning som personuppgiftsbiträde, som till exempel en serverhall, kommer få eget ansvar och skyldigheter, inom vissa ramar, för de personuppgifter de hanterar.
  • Om man ägnar sig åt mer riskfylld personuppgiftsbehandling, till exempel hanterar större mängder av uppgifter om hälsa eller brott, så måste man utöver den obligatoriska riskbedömningen även göra en konsekvensbedömning av riskerna. Om det kvarstår hög risk, efter att åtgärder vidtagits, ska man begära ett förhandssamråd med Datainspektionen.
  • Om en incident som kan leda till risk för fysisk persons rättigheter och skyldigheter sker, är man skyldig att lämna in en incidentrapport till Datainspektionen inom 72 timmar. I vissa fall måste man även informera de som påverkats av incidenten.
  • I och med att det är en förordning och inte ett direktiv innebär det en ökad harmonisering inom EU. Medlemsländerna är i princip förbjudna att stifta egna lagar inom området. Det innebär att svenska specialregler som fanns under PUL försvinner. Den så kallade missbruksregeln som var avsedd att förenkla tillämpningen är ett sådant exempel.
 

Viktigt att tänka efter före

 

Datainspektionen har tagit fram mycket informativt och strukturerat informationsmaterial som finns på deras webbplats som hjälp till de som nu är igång med att anpassa sin organisation till GDPR.

Men det bästa rådet jag kan ge till alla är att tänka efter före.

– Men det bästa rådet jag kan ge till alla är att tänka efter före. Det är viktigt att vara förberedd och se till att man har fungerande rutiner för exempelvis inventering, analys, konsekvensbedömning och incidentrapportering.

Martin Brinnen framhåller också vikten av att informera både internt och externt. Den egna personalen måste vara helt införstådd med vad som gäller så att de agerar rätt från början. Externt behöver man se till att det finns en kontinuerlig och tydlig information till de vars personuppgifter man hanterar.

Foto: Unsplash