Nu träder den i kraft – Så här påverkar den nya dataförordningen dig

Många företag och organisationer frågar nu sina kunder och medlemmar om samtycke för hanteringen av personuppgifter. Bild: Mostphotos

På fredag träder den nya europeiska dataskyddsförordningen i kraft. Den stärker privatpersoners rätt till sina personuppgifter och ger bättre insyn i registren. Mångas e-post svämmar nu över av företags och organisationers förfrågningar om samtycke.

– Grundprincipen är att en person själv har rätt till sina personuppgifter.

Så sammanfattar Elias Aarnio den europeiska dataskyddsförordningen, ofta kallad GDPR, som träder i kraft på fredag.

Han är vice ordförande för Electronic Frontier Finland (Effi) som driver medborgarnas elektroniska rättigheter. För organisationen är GDPR något av en seger, eftersom förordningen stärker skyddet av personuppgifter – eller om man vill se det så: ger makten över uppgifterna tillbaka till medborgarna.

GDPR är en EU-förordning och är därför som sådan bindande i alla medlemsländer. Den förutsätter att alla som upprätthåller någon form av personregister har offentligt tillgängliga beskrivningar där det framgår vilka personuppgifter som registreras och hur de används.

– De måste informera om vad de registrerar, när och var, hur de hanterar personuppgifterna samt hur länge, säger Aarnio.

Från och med fredag finns det information på HBL.fi om hur Hufvudstadsbladet och KSF Media hanterar personuppgifter.

På HBL.fi finns också bolagets dataskyddsbeskrivning.

KSF Media håller dessutom på att informera läsare och prenumeranter genom andra kanaler, bland annat e-post.

KSF Media ger ut Hufvudstadsbladet samt Östnyland, Västra Nyland, Hangötidningen och Loviisan Sanomat.

De registrerade har möjlighet att ta del av uppgifterna – och kan också vända sig till den som behandlar uppgifterna och be att de som gäller honom eller henne tas bort. Man talar om rätten att bli raderad, även om rättigheten inte är alldeles absolut. Den har genom en EU-dom funnits redan tidigare, men nu förtydligas den.

Nytt är däremot att man kan be att de uppgifter som finns om en flyttas vidare till en annan part. Har man samtyckt att ge den informationen i elektronisk form borde man också få ut dem elektroniskt.

Den här punkten i förordningen har som syfte att i synnerhet stärka konkurrensen mellan företag, så att en kund enkelt kan ta med sig informationen om sig. Dataskyddsombudsmannen Reijo Aarnio har tidigare för HBL också lyft fram att ett syfte med GDPR är att "skapa en äkta digital inre marknad inom EU".

– Så att finska konsumenter kan köpa varor och tjänster från till exempel Sverige, Bulgarien eller Spanien.

De som upprätthåller register som nu omfattas är i första hand företag, myndigheter och organisationer.

Rätten att ta del av uppgifter enligt förordningen gäller enbart fysiska personer, inte juridiska.

Förordningen omfattar både digitala register och sådana som upprätthålls manuellt.

Ingen personlig information om dig får lagras i ett register utan att du har gett ditt samtycke.

Du har rätt att granska information om dig själv. Du har rätt att få informationen förmedlad till dig elektroniskt och du har rätt att överföra information om dig själv från ett register till ett annat.

Du har rätt att "bli glömd". Det innebär att du har rätt att be registerhållaren att ta bort information om dig. Registerhållaren ska vidta åtgärder inom en månad.

Registerhållaren är skyldig att göra en beskrivning ur vilken det framgår bland annat vilken information som lagras, hur den lagras och hur den hanteras. Dataskyddsbeskrivningen ska vara offentlig.

Ett register får inte innehålla personinformation som inte är relevant i sammanhanget.

Finland har i motsats till andra länder satt 13 som åldersgräns för när man måste ha målsmans tillåtelse för att gå med i ett register. Annars är åldersgränsen 16. Detta eftersom man har ansett att tillgången till internet är viktig för unga. Det är upp till registerhållaren att kontrollera om användaren är över 13 år gammal.

Alla register faller inte under GDPR. Enkla förteckningar såsom invånarlistor i trapphusen påverkas till exempel inte. Olika förteckningar som uppförs i forskningssyfte – till exempel för släktforskning berörs inte heller. Även många former av insamling av statistisk faller utanför förordningen.

Om information ur ett register läcker ut är registerhållaren skyldig att underrätta myndigheterna om det inom 72 timmar. Personer som registret omfattar ska informeras utan dröjsmål.

Dataombudsmannens byrå övervakar att förordningen följs.

Källa: Dataombudsmannens byrå och Datainspektionen i Sverige.

Läs meddelandena

En och annan e-postlåda har den senaste tiden fyllts av mejl där företag och organisationer informerar om förordningen och ber om samtycke, allt för att leva upp till GDPR.

Har den som upprätthåller ett personregister redan tidigare meddelat sina användare om det, är det som regel tillräckligt också när förordningen träder i kraft.

Det här innebär att du i vissa fall ombeds ge ditt samtycke, i andra fall bara informeras om hanteringen av persondata. I båda fallen är det en god idé att läsa igenom meddelandena noga – även om det kan kännas som att du översköljs av dem: Vem är det som vill behandla dina uppgifter, till vilket ändamål och varför?

Samtycket kan gälla en del av uppgifterna, och också återkallas.

Enligt förordningen ska texten vara tydlig och lättläst.

Svarar du inte händer sannolikt ingenting, förutom att företaget eller organisationen som behöver ditt samtycke inte kan behandla dina uppgifter. Alltid är det ändå inte krav på samtycke, företag som säljer varor måste kunna använda sig exempelvis av din adress för att skicka hem varorna till dig.

Stora böter

För företag och föreningar innebär GDPR en hel del arbete. Böter på 20 miljoner euro eller fyra procent av omsättningen hotar för den som inte uppfyller förordningen.

Elias Aarnio betonar ändå att dataombudsmannen börjar med att handleda eller företag eller organisation i att göra rätt, och kan sätta in sanktioner först om inte åtgärderna har vidtagits.

– GDPR är ändå inte så komplicerat och förändringarna är ändå inte så stora i synnerhet för dem som har skött sig sedan tidigare.

Övriga källor: Dataombudsmannens byrå, Svenska Dagbladet, Dagens Nyheter.

Mot en renare värld, ett flyttlass åt gången – ”Alla våra 150 röda bilar kör fossilfritt”

Mer läsning