Föreningsutveckling

Dataskyddsförordningen – GDPR En översikt

Främsta skillnaden mot gällande PUL

Bild: AdobeStock

 

GDPR kan ses som en skärpning av PUL. Många delar från PUL återfinns i GDPR, men det finns en hel del viktiga skillnader. 

Den främsta skillnaden är att företag inte längre kan äga personuppgifter, utan endast låna dem. Medan PUL varit mer fokuserat på hur data ska hanteras och förvaltas först när företaget anskaffat dem, tar GDPR ett större grepp även kring hur och varför de samlar in den.

  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter de själv lämnat för att föra över dem till en annan tjänst, detta kallas dataportabilitet.
  • Innan någon planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska det ske en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste det anmälas till Datainspektionen inom 72 timmar och vid behov även informera de registrerade (anmälan om personuppgiftsincident).
  • Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende, måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett så kallat dataskyddsombud.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder som vidtagits för att minska skadan, om överträdelsen resulterat i ekonomisk fördel och andra försvårande eller förmildrande omständigheter.
  • I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.