Förmodligen har ingen missat att GDPR är gällande rätt i Sverige. Den nya dataskyddsförordningen från EU blev även en svensk angelägenhet den 25 maj 2018 och har varit så sedan dess. Mängder av organisationer kämpade länge för att få ordning på sin verksamhet så att de skulle efterleva de nya reglerna som trädde i kraft genom GDPR. Många har även arbetat aktivt med detta efter att GDPR började gälla. Vad är det då som är så speciellt och svårt med GDPR? Det kommer vi svara på i den här artikeln.
General data protection regulation är det fulla namnet på den lag som vi lärt känna som GDPR eller dataskyddsförordningen. Den har slagit ner med full kraft i hela EU. Många av medlemsländerna känner fortfarande av svallvågorna efter dess inträde. Anledningen är till stor del att GDPR upphävde hela eller delar av nationell lagstiftning i samband med att den trädde i kraft.
Harmonisering av dataskyddslagstiftning
Anledningen till att GDPR instiftades från första början var för att EU ansåg det nödvändigt för alla medlemsländer att ha samma lagstiftning om personuppgifter och dataskydd. EU motiverade detta med att det skulle stärka individernas integritet. Varje EU-medborgare gavs nämligen möjlighet att kontrollera hanteringen av sina personuppgifter, genom GDPR. Tidigare hade de möjligheterna varit varierade från land till land men från och med GDPR gäller alltså samma regler i alla EU:s länder.
Att samma lagar och regler gäller inom ett visst område kallas för en harmonisering av lagstiftningen. Detta gör det också lättare för EU:s medborgare att veta vad var och en har för rättigheter och friheter gällande sina personuppgifter. I och med att vi samarbetar och interagerar alltmer över landsgränserna är detta en direkt nödvändighet för att undvika krångliga situationer på lång sikt.
GDPR istället för PuL
Precis som alla andra medlemsländer i EU så hade vi egna lagar som reglerade dataskyddsfrågor. Den mest centrala av dem var personuppgiftslagen, även kallad PuL. En lag som vi hade haft i ungefär 20 år innan GDPR kom in i bilden. Eftersom juridik fungerar som så att ny lag upphäver gammal lag så ersatte GDPR helt enkelt personuppgiftslagen rakt av. Skillnaderna mellan de olika lagarna var markant.
Skillnaden mellan PuL och GDPR
Även om Sverige hade väldigt generösa och sunda regler för hantering av personuppgifter och dataskydd så innebar inträdet av GDPR att vissa saker förändrades radikalt.
Största skillnaderna är:
- Större inflytande för privatpersoner
- Som privatperson är det du som har kontroll över hur information om dig ska hanteras. Vill du exempelvis ha en sammanställning av vilka uppgifter en organisation har om dig så ska du kunna få ut det. Du ska också kunna begära att få det raderat.
- Tuffare sanktioner
- I och med GDPR:s inträde så gäller numer hårdare påföljder i form av strängare straff. Vi har exempelvis sett prov på Google och – framförallt – British Airways blivit dömda till att betala miljardbelopp i böter för överträdelser av GDPR.
- Missbruk är inte längre tillåtet
- Den tidigare, så kallade, missbruksregeln, försvann i samband med att GDPR blev gällande rätt. Missbruksregeln tillät mindre stränga regler för hantering av personuppgifter i ostrukturerat material. Exempel på det kunde vara om ett namn skrevs i en text som publicerades på en sida, men inte fanns lagrat i något system. Om namnet däremot funnits i en sökbar lista hade situationen varit en annan. Det sistnämnda skulle då vara strukturerat material medan det förstnämnda var ostrukturerat. Numer ses istället alla personuppgifter på samma sätt.
- Dataskyddsombudet gör inträde
- En helt ny person kommer in i organisationen, nämligen dataskyddsombudet. Dataskyddsombudet ska alltid finnas som en del av större organisationer och även mindre organisationer om det är så att de hanterar personuppgifter som anses särskilt känsliga.
- Hårdare samtyckesregler
- Samtycke för hantering av personuppgifter ska vara än mer explicit från den registrerade jämfört med tidigare. Det gör att exempelvis cookietexter får högre krav på sig än tidigare.