Skip to content

Dataskyddsförordningen, ofta förkortad till GDPR på engelska, är en lagstiftning från EU som ersätter den svenska personuppgiftslagen (PuL). Vi tar nedan upp de viktigaste skillnaderna mellan GDPR och PuL – allt för att du som medlem i NOAK ska få koll.

Vi i NOAK konstförening omfattas av den nya dataskyddsförordningen, eftersom vi hanterar personuppgifter på något sätt – dvs namn, personnummer, e-postadresser, bilder eller annan information som går att koppla till en fysisk person.

Detta är sig likt:

  • Vi får fortfarande hantera personuppgifter när vi har samtycke från personerna ifråga, till exempel för att upprätthålla ett medlemsregister.
  • Vi måste även i fortsättningen kunna garantera att dina personuppgifter skyddas.
  • När du registreras som medlem i vår förening har du även fortsättningsvis med GDPR rätt att få information om att dina personuppgifter registreras.

Förordningen innebär många nya riktlinjer – dataskyddsförordningen har nästan dubbelt så många bestämmelser jämfört med PuL. Därför är det svårt att sammanfatta uppdateringarna, men det finns ändå vissa punkter som sticker ut i denna nya lag som från den 25 maj 2018 kommer att gälla i hela EU:

1. Syftet med personuppgiftsbehandling: Med den nya lagen måste vi som förening även kunna visa vad vi vill göra med personuppgifterna vi samlar in, registrerar eller sparar. PuL handlar snarare om vad som görs med informationen när den väl är insamlad eller registrerad.

2. Missbruksregeln försvinner med GDPR: I PuL finns ett undantag gällande behandling av ostrukturerade personuppgifter. Undantaget kallas för missbruksregeln och innebär att personuppgifter i ostrukturerat material får förekomma så länge den inte kränker den personliga integriteten. I och med att missbruksregeln nu försvinner så omfattas exempelvis publicering av bilder på människor på vår hemsida och i våra flöden på Facebook och Instagram.

3.  De registrerades rättigheter utökas, dataportabilitet: Med PuL räckte det att företaget/organisationen informerade om att dina personuppgifter blev registrerade.  Med GDPR har den registrerades rättigheter utökats till att även omfatta  tillgång till sina personuppgifter, korrigera felaktiga personuppgifter, begära att personuppgifter raderas, neka att personuppgifter används för direktmarknadsföring, neka till att personuppgifter används för profilering eller automatiserat beslutsfattande samt att flytta personuppgifterna.

4. Anmälan till Datainspektionen (som kommer byta namn till Integritetskyddsmyndigheten): Om det uppstår säkerhetsproblem, till exempel ett dataintrång eller om personuppgifter oavsiktligt försvinner eller tappas bort, måste vi anmäla detta till Datainspektionen inom 72 timmar. Det kan även vara nödvändigt att informera personerna som personuppgifterna tillhör.

5. Sanktionsavgifter: Skulle vi bryta mot dataskyddsförordningen kan Datainspektionen (blivande Integritetskyddsmyndigheten) utdela böter beroende på hur allvarlig överträdelsen är samt beroende på om det skett avsiktligt eller ej. I så fall skulle det även vara avgörande vad vi har gjort åt saken för att åtgärda problemet, om vi skulle tjäna ekonomiskt på det och liknande omständigheter. Det högsta bötesbeloppet är 20 miljoner euro, eller 4 procent av vår globala omsättning, beroende på vilket som är högst.

~   ~   ~

På ett mer konkret plan innebär GDPR att organisationer måste kunna visa vad de vill göra med personuppgifter. PUL har mer varit inriktat på hur data hanteras när en organisation väl har skaffat dem. GDPR innebär alltså att syftet med att samla in personuppgifter sätts under lupp. Det innebär att organisationer som slentrianmässigt har samlat in personuppgifter måste ta sig en rejäl funderare på varför man gör det och vilka personuppgifter det finns anledning att samla in.