Det snackas mycket om GDPR, vad är det?

Förmodligen har du vid detta laget hört mycket om GDPR och kanske även börjat tröttna. Du har säkert fått både ett, två eller fler nyhetsbrev om GDRP. Det känns rätt krångligt också, eller hur? Svår att förstå, svår att efterleva och med väldigt stora konsekvenser om man som företag misslyckas.

Men låt oss klargöra lite ang GDPR…
25 maj i år 2018 börjar en ny EU-förordning gälla: GDPR (General Data Protection Regulation) vilken ersätter den tidigare svenska Personuppgiftslagen (PUL). Den nya lagen syftar till att skydda individen på näten och reglera hur företag får hantera dennes personuppgifter i marknadsföringssyfte.

”Fysiska personer bör ha kontroll över sina egna personuppgifter.”
GDPR reglerar med andra ord privatpersoners kontroll över en värdefull immateriell tillgång. Ur ett strikt legalt perspektiv reglerar inte GDPR personuppgifter utifrån äganderätten. Men ur ett praktiskt perspektiv skulle man kunna säga att privatpersoner äger sina personuppgifter. Därför skulle man också kunna jämföra det att använda bilen – en dyrbar materiell tillgång i en jämförelse – som metafor för att förklara rimligheten i förordningens mekanismer med mer vardagliga termer.

GDPR reglerar med andra ord privatpersoners kontroll över en värdefull immateriell tillgång. Ur ett strikt legalt perspektiv reglerar inte GDPR personuppgifter utifrån äganderätten, men ur ett praktiskt perspektiv fungerar det ganska bra att se det som att privatpersoner äger sina personuppgifter, säger Walters. Därför fungerar det enligt honom också att använda bilen – en dyrbar materiell tillgång – som metafor för att förklara rimligheten i förordningens mekanismer med mer vardagliga termer.

Tänk dig att du lånar någons bil, många är nog överens om att det då är naturligt att:

• fråga om du får låna den [samtycke, öppenhet]
• vara tydlig med i vilket syfte du vill låna den [öppenhet, ändamålsbegränsning]
• berätta hur länge du behöver låna den och lämna tillbaka den i tid [korrekthet, lagringsminimering]
• inte använda den till annat syfte än det överenskomna [uppgiftsminimering]
• vara varsam, så att inte något oönskat (P-bot, fortkörning vid fartkamera, parkeringsskada, krock, etc.) händer under tiden du lånar den [laglighet, korrekthet, integritet]
• om en olycka eller något annat oönskat ändå inträffar när du lånar den, berätta det så snart som möjligt [anmälningsskyldighet]
• åtgärda konsekvenserna av oönskade händelser – t.ex. betala p-böter, fortkörningsböter, reparations- eller andra oväntade kostnader – som uppstår i samband med lånet [rätt till rättelse]
• lämna tillbaka den omedelbart om ägaren önskar det och inte behålla någon nyckel [dataportabilitet, rätt till radering, lagringsminimering]

Byt nu ut orden ”låna” respektive ”den” i punkterna ovan, mot ”behandla” respektive ”personuppgifterna”, så har du fått en ganska bra översikt över många av de principer som gäller för behandling av personuppgifter under GDPR.
Plötsligt känns GDPR inte så krånglig, eller hur? Rent av ganska rimlig.

Orden inom hakparentes svarar mot relevanta begrepp i förordningen.
*Källa/upphovsman Tim Walters.

Vill du fördjupa dig i GDRP, läs mer på Datainspektionens sida här.