Vad är GDPR?

Allmänna dataskyddsförordningen (GDPR) är en EU-förordning som trädde i kraft den 25 maj 2018. Den harmoniserar reglerna för hur personuppgifter får samlas in, lagras, användas och delas inom EU, och ger individer starka rättigheter gentemot alla som behandlar deras data.

Syfte och tillämpningsområde

Syftet med GDPR är att skydda fysiska personers grundläggande rättigheter och friheter när deras personuppgifter behandlas. Genom en enhetlig lagstiftning vill man samtidigt underlätta det fria flödet av data inom den inre marknaden. Förordningen gäller all automatiserad behandling och annan organiserad behandling av personuppgifter, oavsett om verksamheten sker inom EU eller riktar sig till personer som befinner sig där.

Rättigheter för registrerade

Varje person får under GDPR flera verktyg för att kontrollera sina uppgifter. Viktigast är:

  • Rätt till insyn: begära kopia på vilka uppgifter som behandlas
  • Rättelse: få felaktiga uppgifter rättade
  • Radering (“rätten att bli bortglömd”): under vissa förutsättningar ta bort sina uppgifter
  • Begränsning av behandling: stoppa ytligare bearbetning
  • Rätt till dataportabilitet: flytta data mellan system i maskinläsbart format
  • Rätt att invända: stoppa databehandling på grund av personliga skäl
  • Rätt att återkalla samtycke: när databehandlingen grundar sig på godkännande.

De sju grundläggande principerna

GDPR bygger på sju centrala principer som styr all personuppgifts­behandling:

  • Lagenlighet, korrekthet och öppenhet: behandlingen måste vara rättvis och transparent
  • Ändamålsbegränsning: data får bara användas för uttalade syften
  • Uppgiftsminimering: endast nödvändiga uppgifter får samlas in
  • Riktighet: data ska vara korrekta och uppdaterade
  • Lagringsminimering: uppgifter får inte sparas längre än nödvändigt
  • Integritet och konfidentialitet: skydd mot otillåten åtkomst eller förlust
  • Ansvarsskyldighet: den som behandlar data måste kunna visa hur principerna följs.

Vanliga fallgropar

Många organisationer stöter på liknande utmaningar när de inför GDPR:

  • Otydlig rättslig grund: svårt att motivera vilka lagliga skäl som gäller för varje behandling
  • Bristande dokumentation: saknade register över databehandlingsaktiviteter och incidenter
  • Ofullständiga biträdes­avtal: avtal med underleverantörer saknar krav på säkerhetsnivåer
  • Brist på “privacy by design”: integritet inte inbyggt i system och processer
  • Otillräcklig hantering av registrerades rättigheter: långsamma eller felaktiga rutiner för att besvara insyns- och raderings­förfrågningar.

Rulla till toppen