GDPR – Hur ska du tänka fyra år senare?
GDPR är lagen som förändrat förutsättningarna för alla företagare. Den 25 maj är det 4 år sedan lagen infördes och fyra år senare har mycket med lagen blivit tydligare. Men det finns fortfarande en del saker som alla företagare behöver tänka på när de behandlar personuppgifter.
GDPR kom som en efterföljare till svenska personuppgiftslagen och den infördes för att människor har rätt till privatliv. De regler som fanns var spridda och otydliga vilket förhindrade en fri marknad och gjorde det svårare att förstå och skydda sina rättigheter i den digitala tidsåldern.
– Vi sprider information om oss allt mer på internet, säger Jonas Axelson, VD på RosholmDell Advokatbyrå.
Som företagare eller någon som behöver behandla personuppgifter finns en del att tänka på.
1. Var tydlig med laglig grund eller samtycke
En central del i GDPR är att det ska finnas en laglig grund för att använda personuppgifter.
– GDPR sätter egentligen inte upp så många förbud. GDPR sätter upp ramar vad som ska ske innan och efter en behandling, säger Elsa Elmgren Stenkula, jurist på RosholmDell Advokatbyrå.
Samtycke är inte det som nödvändigtvis krävs för att få behandla personuppgifter på laglig grund. Andra sätt att få laglig grund kan vara att ett avtal tecknas mellan parterna. Det viktiga är att en företagare behöver tänka igenom vad den ska använda personuppgifter till och om det behövs för ändamålet.
2. Informera om vilka behandlingar som görs
Privatpersoner har rätt att veta vilka personuppgifter som kommer att behandlas och även varför det kommer att göras. Detta hänger samman med att det är viktigt för en företagare att ha ett tydligt ändamål med behandlingen.
Tillsynsmyndighet för behandling av personuppgifter i Sverige är Integritetsskyddsmyndigheten, IMY. Dit kan privatpersoner anmäla otillåten användning eller behandling av personuppgifter.
3. Se över vilka överföringar som görs
När den så kallade SchremsII-domen meddelades i juli 2020 blev nästan all överföring av data till USA i praktiken olaglig. Det innebär att om det är möjligt att undvika överföring till USA, bör det undvikas. Många organisationer kan dock inte göra detta på grund av lösningar med molnlagring. Men många företag erbjuder extra skyddsåtgärder för att värna om integriteten. Därför ska alla som använder tjänster i USA se över om dessa är nödvändiga och om de har de skyddsåtgärder som krävs.
