General Data Protection Regulation (GDPR) är en omfattande dataskyddsförordning som trädde i kraft den 25 maj 2018. Den ersatte den tidigare dataskyddsdirektivet från 1995 och syftar till att harmonisera dataskyddslagarna inom Europeiska unionen (EU), stärka skyddet för enskilda personers rättigheter och ge dem större kontroll över sina personuppgifter. GDPR gäller för alla organisationer som behandlar personuppgifter om individer inom EU, oavsett var organisationen är baserad.
Grundläggande principer
GDPR bygger på flera grundläggande principer som styr hur personuppgifter ska behandlas:
Laglighet, korrekthet och transparens: Behandling av personuppgifter måste vara laglig, rättvis och transparent för den registrerade.
Ändamålsbegränsning: Personuppgifter får endast samlas in för specifika, uttryckligt angivna och legitima ändamål och får inte behandlas på ett sätt som är oförenligt med dessa ändamål.
Uppgiftsminimering: Endast de personuppgifter som är relevanta och nödvändiga för ändamålen med behandlingen får samlas in.
Riktighet: Personuppgifter måste vara korrekta och uppdaterade. Felaktiga uppgifter ska rättas eller raderas utan dröjsmål.
Lagringsminimering: Personuppgifter får inte lagras längre än vad som är nödvändigt för de ändamål för vilka de behandlas.
Integritet och konfidentialitet: Personuppgifter måste behandlas på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada.
Rättigheter för registrerade
GDPR stärker enskilda personers rättigheter i förhållande till deras personuppgifter. Några av de viktigaste rättigheterna inkluderar:
Rätt till tillgång: Den registrerade har rätt att få bekräftelse på om personuppgifter som rör honom eller henne behandlas och, om så är fallet, få tillgång till dessa uppgifter samt information om behandlingen.
Rätt till rättelse: Den registrerade har rätt att få felaktiga personuppgifter som rör honom eller henne rättade utan onödigt dröjsmål.
Rätt till radering (”rätten att bli bortglömd”): Under vissa omständigheter har den registrerade rätt att få sina personuppgifter raderade.
Rätt till begränsning av behandling: Den registrerade har rätt att begära att behandlingen av hans eller hennes personuppgifter begränsas under vissa förutsättningar.
Rätt till dataportabilitet: Den registrerade har rätt att få ut de personuppgifter som han eller hon har tillhandahållit en personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig.
Rätt att göra invändningar: Den registrerade har rätt att när som helst invända mot behandling av personuppgifter som grundar sig på den personuppgiftsansvariges berättigade intressen eller allmänintresse, inklusive profilering.
Ansvar och efterlevnad
Organisationer som behandlar personuppgifter är skyldiga att följa GDPR och kan hållas ansvariga för överträdelser. Några av de viktigaste kraven inkluderar:
Personuppgiftsansvarig och personuppgiftsbiträde: Organisationer måste tydligt definiera roller och ansvar. Den personuppgiftsansvarige bestämmer ändamålen och medlen för behandlingen av personuppgifter, medan personuppgiftsbiträdet behandlar uppgifterna på uppdrag av den personuppgiftsansvarige.
Dataskyddsombud (DPO): Vissa organisationer måste utse ett dataskyddsombud som ska övervaka efterlevnaden av GDPR, ge råd och fungera som kontaktpunkt för registrerade och tillsynsmyndigheter.
Konsekvensbedömningar (DPIA): När en behandling sannolikt leder till hög risk för enskildas rättigheter och friheter, måste organisationen genomföra en konsekvensbedömning av dataskydd.
Anmälan av personuppgiftsincidenter: Organisationer måste anmäla personuppgiftsincidenter till tillsynsmyndigheten inom 72 timmar efter att ha blivit medvetna om dem, om incidenten sannolikt leder till risk för enskildas rättigheter och friheter.
Inbyggt dataskydd och dataskydd som standard: Organisationer måste integrera dataskyddsåtgärder i sina processer och system redan från början och säkerställa att endast de personuppgifter som är nödvändiga för varje specifikt ändamål behandlas.
Sanktioner
Överträdelser av GDPR kan leda till betydande sanktioner. Tillsynsmyndigheter kan utfärda varningar, förelägganden och administrativa böter. Böterna kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst.
Sammanfattning
GDPR är en omfattande och strikt förordning som syftar till att skydda enskilda personers personuppgifter inom EU. Den ställer höga krav på organisationer att behandla personuppgifter på ett lagligt, rättvist och transparent sätt, och ger individer starka rättigheter över sina uppgifter. Efterlevnad av GDPR är avgörande för att undvika betydande sanktioner och för att bygga förtroende hos kunder och anställda.
