8 viktiga förändringar i dataskyddsförordningen jämfört med PuL

Dataskyddsförordningen, ofta förkortad till GDPR på engelska, är en lagstiftning från EU som ersätter den svenska personuppgiftslagen (PuL). Vi tar upp de åtta viktigaste skillnaderna mellan GDPR och PuL – allt för att du ska få koll på dataskydd, för dig och alla organisationer i EU.

Förordningen innebär många nya riktlinjer – dataskyddsförordningen har nästan dubbelt så många bestämmelser jämfört med PuL. Därför är det svårt att sammanfatta uppdateringarna, men det finns ändå vissa punkter som sticker ut i denna nya lag som från den 25 maj 2018 kommer att gälla i hela EU.

GDPR innebär en stor omställning för alla verksamheter som hanterar personuppgifter – vilket de flesta företag och organisationer gör. När din organisation efterlever reglerna ger det er möjlighet att stärka er konkurrenskraft och kundupplevelsen.

 

Vad är en personuppgift?

Personuppgifter innebär inte bara uppgifter såsom namn och personnummer, utan alla uppgifter som kan identifiera en person. Det gäller till exempel både e-postadresser, vissa typer av cookies och IP-adresser.

 

Personuppgiftsbiträden ska upprätta registerbeskrivningar

För varje behandling av personuppgifter ska en registerbeskrivning upprättas av personuppgiftsansvariga eller personuppgiftsbiträdena. De är också skyldiga att samarbeta med Datainspektionen och se till att registret är tillgängligt för övervakning av behandlingen.

När Datainspektionen knackar på dörren är det viktigt att kunna uppge vilken information som behandlas, hur den behandlas samt vilka rutiner man har vid en eventuell personuppgiftsincident.

Dessutom kan även de registrerade kontakta en organisation för att begära ut uppgifter, läs mer om detta under punkt 6. Det är den personuppgiftsansvariga organisationen som ansvarar för att en registerförteckning upprättas och underhålls enligt lagstiftningen.

Läs också: Nya dataskyddsförordningen: Vad räknas som en personuppgift?

 

Konsekvensbedömning vid särskilda risker för den registrerade

Inför en ny personuppgiftsbehandling som innebär särskilda risker ska en konsekvensbedömning göras. Ni måste besvara ett antal frågor, exempelvis vilken typ av konsekvenser som behandlingen kan få och vilka åtgärder som vidtas för att minska risken med behandlingen. Kommer ni fram till att risken för de registrerade fortfarande är hög ska ni samråda med tillsynsmyndigheten.

Ladda ner: Din guide till en DPIA (PDF)

 

Informationsplikten gentemot de registrerade utökas

Till skillnad från PuL måste ni enligt GDPR informera om den rättsliga grunden för behandling av personuppgifter och möjligheten att lämna klagomål till Datainspektionen om den registrerade anser att fel har begåtts. Den utökade informationsskyldigheten i GDPR omfattar utöver vad som anges i PuL:

 • Kontaktuppgifter till dataskyddsombudet (om det finns ett sådant).
 • Den personuppgiftsansvariges (eller tredje parts) berättigade intresse, om man använder det som rättslig grund.
 • Om personuppgifterna ska överföras till tredjeland eller internationell organisation samt information om ifall en adekvat skyddsnivå finns där eller inte.
 • Kriterierna för hur länge de insamlade uppgifterna kommer att lagras.
 • Vilka rättigheter den registrerade har, exempelvis rätten till radering, rätten att återkalla ett samtycke, rätten att klaga till en tillsynsmyndighet etc.
 • Om den registrerade är skyldig att tillhandahålla personuppgifterna och vilka följder det kan få att inte göra det.
 • Om det föreligger något automatiskt beslutsfattande eller profilering.
 • Dessutom måste informationen vara kortfattat, koncis och utformad på ett tydligt sätt så att den registrerade förstår syftet med behandlingen.

 

Ta ansvar för dataskyddsarbetet – behöver ni utse ett dataskyddsombud?

Dataskyddsombudet är länken mellan tillsynsmyndigheten Datainspektionen och organisationen som dataskyddsombudet representerar. Ombudets huvudsakliga uppgift är att säkerställa att organisationen i övrigt lever upp till kraven i dataskyddsförordningen.

Myndigheter och offentliga organ ska utse ett dataskyddsombud. Det enda undantaget gäller för domstolar i sin dömande verksamhet.

Organisationer vars kärnverksamhet i stor omfattning innebär regelbunden och systematisk övervakning av fysiska personer, eller om organisationen i stor utsträckning registrerar känsliga personuppgifter eller uppgifter om brott, ska också utse ett dataskyddsombud.

Läs mer: Dataskyddsombudets nyckelroll i organisationen (PDF)

 

Missbruksregeln försvinner med GDPR

I PuL finns ett undantag gällande behandling av ostrukturerade personuppgifter. Undantaget kallas för missbruksregeln och innebär att personuppgifter i ostrukturerat material får förekomma så länge den inte kränker den personliga integriteten.

Ett exempel på missbruksregeln kan vara internetpublicering av personuppgifter i löpande text. Missbruksregeln försvinner med GDPR – all behandling av personuppgifter måste dokumenteras och ha ett tydligt ändamål.

Läs också: Missbruksregeln försvinner med dataskyddsförordningen

 

De registrerades rättigheter utökas: Dataportabilitet

De registrerade har vanligen, under vissa omständigheter, rätt till:

 • Få tillgång till sina personuppgifter
 • Korrigera felaktiga personuppgifter
 • Begära att personuppgifter raderas
 • Neka att personuppgifter används för direktmarknadsföring
 • Neka till att personuppgifter används för profilering eller automatiserat beslutsfattande
 • Flytta personuppgifterna – rätten till dataportabilitet

Läs också: Vad betyder dataportabilitet enligt dataskyddsförordningen?

 

Anmälan om personuppgiftsincident ska ske inom 72 timmar

Om ni någon gång exempelvis förlorar kontrollen över personuppgifter eller blir utsatta för dataintrång måste detta rapporteras till Datainspektionen inom 72 timmar. När säkerhetsrisken kan påverka individen, vid exempelvis identitetsstöld eller bedrägerier, så måste de registrerade informeras om händelsen.

 

Sanktionsavgifter kan förekomma för den som bryter mot dataskyddsförordningen

Organisationer som inte efterlever lagstiftningen i dataskyddsförordningen kan komma att straffas med sanktionsavgifter. På EU-nivå pågår arbetet med att ta fram vägledningar för hur sanktionsavgifter ska kunna användas.

De verkliga påföljderna av att inte följa dataskyddsförordningens föreskrifter är därför svåra att förutse. Därför är det viktigt för alla organisationer att se över sitt arbete med dataskydd redan nu.

Gillar du det du läser? Dela detta inlägget!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *