Allmän dataskyddsförordning (GDPR)

Från och med den 25 maj 2018 är den allmänna dataskyddsförordningen (GDPR) en EU-förordning (EU) som ersätter direktiv 95/46 / EG och reglerar den nuvarande dataskyddsramen i Europa.

Lagen har ett brett omfång som påverkar organisationer som behandlar personuppgifter för EU-invånare, oavsett var de finns i världen. Förordningen är avsedd att harmonisera EU: s dataskyddslandskap och skydda rättigheter och friheter för EU-individer.

Organisationer som inte följer GDPR får stora böter och påföljder. Vissa överträdelser utsätts för upp till 4% av organisationens globala årliga omsättning.

Artiklen GDPR for dummies kan du läsa här

Vad är GDPR?

Den allmänna dataskyddsförordningen (GDPR) är en av de första dataskyddsförordningarna för konsumentskydd online i världen som trädde i kraft i maj 2018. Det är en mycket mer omfattande ersättning för direktiv 95/46 / EG, 1995 direktivet inrättat för att införa begränsningar för behandling och förmedling av personuppgifter. Det är en omfattande förordning som syftar till att skydda invånarna i Europeiska unionen (EU) genom att ge full insyn i hur deras personliga information samlas in och behandlas.

Fokus i förordningen är både dataskydd och dataskydd. Att skydda data från potentiella hackare och intrång, samtidigt som användarna gör valet om vilka personuppgifter de är villiga att dela.

Företag som hanterar stora mängder känsliga personuppgifter, offentliga myndigheter och organisationer med mer än 250 anställda måste anställa en dataskyddsombud (DPO) som måste se till att GDPR efterlevs i hela organisationen.

Om man samlar in persondata som enligt GDPR inte är nödvändig till exempel uppgifter om IP-nummer i en cookie måste användaren informeras om detta, syftet och vilka risker det kan innebära, vem som har tillgång till den informationen etc. Användaren behöver dessutom ge sitt samtycke till att detta, vilket i si tur behöver spara säkert och det ska vara möjligt för användaren att enkelt kunna ändra sitt samtycke.

Den 4 maj 2020 publicerad European Data Protection Board (EDPB) riktlinjer för hur detta ska hantera.

Lära dej mer om European Data Protection Board (EDPB) riktlinjer

GDPR ålägger höga böter för organisationer som inte uppfyller kraven. Vissa överträdelser omfattas av upp till 4% av organisationens årliga intäkter.

Vad är definitionen av personuppgifter enligt GDPR?

Det finns två nyckelpersoner som ansvarar för att följa och underhålla register för GDPR – databehandlaren och den registeransvarige. Dessa termer definieras i artikel 4.

Uppgiftsansvarig: ”(7)” personuppgiftsansvarig ”: den fysiska eller juridiska personen, den offentliga myndigheten, byrån eller andra organ som, ensamt eller tillsammans med andra, bestämmer syftet och medlen för behandlingen av personuppgifter; om syftet och medlen för sådan behandling bestäms av unions- eller medlemsstatens lagstiftning, kan den registeransvarige eller de specifika kriterierna för dess nominering föreskrivas i unions- eller medlemsstatslagstiftningen. ”

Databehandlare: ”(8) databehandlare: en fysisk eller juridisk person, offentlig myndighet, myndighet eller annat organ som behandlar personuppgifter på den registeransvariges vägnar.”

Den personuppgiftsansvarige är den person som ansvarar för att hantera samtycke, möjliggör den registrerades rätt att få tillgång till deras personliga information och att hålla register över alla förfrågningar från registrerade. Datakontrollanten hanterar förfrågningarna och databehandlaren är sedan ansvarig för att ta bort data från sina servrar.

Den registeransvarige ansvarar för att endast välja processorer som arbetar med lämpliga tekniska åtgärder som skyddar uppgifterna på ett sätt som uppfyller kraven i GDPR.

Databehandlaren är också ansvarig för att föra register och certifieringar om överensstämmelse eller bli föremål för böter och påföljder själva. De är också skyldiga att endast behandla de uppgifter som begärts från den registeransvarige och i händelse av ett brott måste de göra den registeransvarige medveten så snart som möjligt.

En databehandlare är skyldig att föra register över databehandlingsaktiviteter om de anställer 250 personer, behandlar data som kan utgöra en risk för de registrerades rättigheter, behandlar speciella kategorier av data och processdata relaterade till övertygelse av brottslingar. I händelse av dataintrång krävs att databehandlaren också meddelar tillsynsmyndigheten i EU och alla berörda personer inom en 72-timmarsperiod.

Vem skyddas enligt GDPR?

Skäl 14 i GDPR beskriver vem som är skyddad enligt förordningen. Det gäller ”fysiska personer oavsett nationalitet eller hemvist, i förhållande till behandlingen av deras personuppgifter.” Om en produkt eller tjänst utbyts med någon använ