GDPR

Förordningen som skyddar användarna!

Vår GDPR-expert tillika projektledar- och juristkollega på Consid, Caterina Franceschi, var nyligen med i ett inslag på Sveriges Radio gällande den omtalade och snart ikraftträdande lagen, GDPR. Kanske har du inte tid att lyssna på radioinslaget, eller så gillar du bättre att läsa dig fram till information? Oavsett anledning har vi sammanfattat essensen i inslaget för att du som användare ska ha koll på dina rättigheter – för det är faktiskt för dig lagen är till för.

Är lagen lika krånglig som den låter?
Lagen kan uppfattas som krånglig eftersom den är skriven på ett annat sätt än vi är vana vid. Detta eftersom att den är skriven och anpassad för EU, vilket innebär att lagen är mer omfattande och inte bara anpassad för lilla Sverige. Det betyder alltså att lagen i sig inte är krångligare, men att det krävs några extra vändor för att förstå den.

Vad innebär lagen för dig som användare?
Lagen innebär att du som användare har rätt att begära ut dina personuppgifter av en myndighet eller ett företag, och att innehavaren av uppgifterna då är skyldig att återkomma med en lista på vilka uppgifter de lagrar om dig. Du som användare har rätt att begära att bli glömd, det vill säga att dina personuppgifter raderas, av alla myndigheter och instanser, förutom fåtalet undantag. Ett exempel på ett sådant undantag är Skatteverket, i och med att lagring av personuppgifter krävs för att myndigheten ska kunna kontrollera att skatten betalas in korrekt.

Ytterligare en funktion inom lagen, som skyddar dig som användare är att en myndighet eller företag inte får lagra dina personuppgifter längre än nödvändigt. Detta innebär att företaget eller myndigheten måste ha en så kallad laglig grund för att få lagra dina uppgifter. Vidare måste även företaget eller myndigheten ha fått ett aktivt godkännande från dig som användare för att få lagra uppgifterna, även om det finns en laglig grund att stå på. Detta gör att det inte längre är lagligt att spara uppgifter för att ”det är bra att bra”.

Ett aktivt godkännande innebär att du som användare måste signera ett avtal där du ger ditt samtycke till lagring av uppgifter. Detta sker oftast digitalt genom ett knapptryck, precis som väldigt många avtal tecknas idag.Många tror att ett knapptryck som signering inte är lika bindande som en egenhändig signatur men det stämmer alltså inte, utan ditt klick på ”ja” betyder att du samtycker och därmed godkänner att dina uppgifter lagras hos företaget eller myndigheten.

En bra tumregel att komma ihåg är att GDPR säger att företaget/myndigheten får lagra personuppgifter, men det måste tydligt framgå och tydliggöras varför de lagras.

Vad händer om man inte följer lagen och hur går jag som användare tillväga om en instans inte följer lagen?
Om du misstänker, eller rentav är säker på, att instansen inte följer lagen vänder du dig till Datainspektionen med en anmälan. Vad följderna blir? Instansen måste, inom en månad, ge dig som användare en lista på vilka personuppgifter de har lagrade om dig. Om inte instruktionerna följs riskerar instansen att få betala böter på upp till 20 miljoner euro till Datainspektionen. Sett till lilla Sverige och våra företag och myndigheter är summan skyhög, vilket skulle rasera många budgetar, men sett till EU överlag är det mer standardsummor det handlar om.

Vad behöver instanserna göra för att uppfylla kraven för GDPR?
Det finns några olika vägar att gå för att bli GDPR-godkänd. Antingen bygger instansen om sitt system så att det är tekniskt möjligt att radera personuppgifter i systemet, eller så bygger man ett helt nytt system som uppfyller GDPR-kraven. Oavsett vilket val instansen gör så är en roadmap för anpassning till GDPR något som samtliga berörda instanser bör ha satt i rullning för att framtida systemuppdateringar ska vara GDPR-kompatibla. Ett tecken på att det faktiskt är många som bygger om sina system är att du som användare, har mottagit – och fortsätter motta – en handfull mejl angående uppdaterade policys och hantering av personuppgifter från diverse företag och myndigheter.

Ytterligare en sak som är bra, för dig som användare, att vara medveten om är att vissa myndigheter följer lagkrav om arkivering, vilket gör att andra lagar, till exempel, bokföringslagen står över GDPR.