Nyckelfakta kring GDPR

Förordningen utfärdades under våren 2016 och den förutsätter ett omfattande analys- och anpassningsarbete innan den träder i kraft nästa år. Inom offentlig verksamhet har en del analysarbete påbörjats, men de praktiska problemställningarna återstår fortfarande. Inom privat verksamhet står man i allmänhet och stampar och vet inte riktigt i vilken ände man ska börja, om man ens känner till förordningen. Av debatten att döma är medvetenheten i allmänhet liten Det finns få tecken på att berörda verkligen har fattat – och fattat på riktigt.

Uppgifter, format, ansvariga

De uppgifter som träffas av förordningen avser samtliga uppgifter som kan knytas till en individ, oavsett om de är lagrade i strukturerad eller ostrukturerad form – en databas respektive ett e-postsystem för att ta två exempel. Alla möjliga typer av uppgifter träffas, inte bara namn och personnummer, utan samtliga upptänkliga uppgifter som kan relateras till en person, som löpande anteckningar, fritidsintressen, köppreferenser och annat.

Formatet spelar heller ingen roll, bilder, video och ljud m.m. täcks in. Finns uppgiften lagrad och den kan knytas till en viss individ träffas den av förordningen. De subjekt, eller uppgiftsansvariga, som omfattas är varje person – juridisk eller fysisk – som lagrar uppgifterna för någon form av verksamhetssyfte (oftast kommersiella syften). Rent privata syften, till exempel ett digitalt släktalbum eller en adressbok med vänner, faller således utanför. Men allt annat träffas.

Registrerads rättigheter och krav på informationssäkerhet

Genom förordningen ges den registrerade en, nära nog, oinskränkt makt att förfoga över sina uppgifter, d.v.s. få dem utlämnade till sig, motsätta sig vidare bearbetning av dem , begära ändring och få dem raderade. De får heller inte samlas in utan ett tydligt och övervägt samtycke från den enskilde. De naturliga undantagen gäller bland annat rättsvårdande myndigheter samt verksamhet inom hälso- och sjukvård och motsvarande verksamheter grundad i lag.

För samtycke kommer det, till exempel, inte räcka med ett enkelt kryss i en ruta i ett webbformulär, utan det måste vara tydligt, väl övervägt och fattat i eget sammanhang. Utöver dessa krav ställs, bland andra, mycket höga krav på en aktiv informationssäkerhet från registerhållarens sida. Ett misstänkt dataintrång ska meddelas till Datainspektionen inom 72 timmar och (i de flesta fall) direkt till den registrerade. Vilket kommer att innebära nya och tydligt preciserade krav på en hög nivå av data- och informationssäkerhet.

Kraftfullt sanktionssystem

Till reglerna kopplas ett kraftfullt sanktionssystem De som bryter mot dessa kan drabbas av böter upp till motsvarande det högsta beloppet av 4% av årsomsättningen eller 20 miljoner euro (omkring 200 miljoner kronor). Det är just det här momentet som gör att det verkligen händer: att regelverket måste tas på allvar. Ingen kan kosta på sig att rycka på axlarna. Regelverket innebär omfattande konsekvenser för hur vi sätter upp, hanterar och skapar rutiner kring berörda system, liksom mycket långtgående krav på aktiv informationssäkerhet.