Femte juli

Nätet till folket!

Ryktet om GDPR:s död är överdrivet

av

EU-kommissionen förenklar GDPR för att minska byråkratin. Men i praktiken är det rätt lite som ändras.

EU:s dataskyddsförordning – GDPR – håller på att omarbetas som ett led i EU-kommissionens regelförenklingar för företag.

Här står olika värden mot varandra. Å ena sidan den enskildes makt över sina persondata. Å andra sidan har näringslivet klagat på att GDPR orsakar en omfattande och kostsam byråkrati.

Vad är det då som ändras?

  • Tröskeln för krav på att dokumentera databehandling av personuppgifter (registerkravet) höjs från företag (och andra) med minst 250 anställda till 750.
  • Det nuvarande undantaget från dokumentationsplikt vid tillfällig databehandling tas bort.
  • Istället skall endast databehandling som bedöms medföra hög risk för de registrerades rättigheter och friheter omfattas av registerkravet.
  • Behandling av personuppgifter som sker med stöd i lag undantas från registerkravet.

I praktiken innebär detta att endast en liten del av EU:s företag (<0,05%) kommer att omfattas av registerkravet.

Sådana register skall bland annat innehålla uppgifter om den personuppgiftsansvarige, ändamålet med behandlingen, kategorier av registrerade och mottagare.

Man kan dock fråga sig om den risk som föreligger främst har med företagens stolek att göra. Men det gällde även tidigare, med 250-gränsen (c:a 0,2% av EU:s företag).

Dock gäller fortfarande följande för alla (även småföretag, föreningar med flera):

  • Personuppgiftsbehandling måste ha rättslig grund (till exempel samtycke, avtal eller rättsliga krav), vara korrekt och transparent.
  • Ändamålet måste vara begränsat.
  • Man får inte samla in eller lagra mer uppgifter än nödvändigt.
  • Man måste respektera den enskildes integritet, uppgifterna skall vara konfidentiella och skyddade (till exempel krypterade).
  • Alla registrerade skall ha rätt till information om den databehandling som sker och kunna få tillgång till sina uppgifter.
  • Registrerade skall även kunna begära rättelse eller radering av insamlad data.
  • Allvarliga personuppgifts-incidenter skall anmälas till dataskyddsmyndigheten (i Sverige IMY) inom 72 timmar.

Sammantaget gäller alltså de flesta regler fortfarande. Det som ändras är att dokumentationsskyldigheten minskar – både i omfattning och i hur många företag (c:a -0,15%) den gäller.

I vilken mån detta kommer att bidra till kommissionens mål att minska regelbördan för europeiska företag med 25% kan diskuteras.

Nu går frågan över till EU:s ministerråd och Europaparlamentet. Speciellt parlamentet lär ha invändningar.

• IMY: EU-kommissionen vill införa nya lättnader i GDPR för små och medelstora företag »

CC0

Femte juli drivs av den ideella 5 juli-stiftelsen. Stöd gärna vårt arbete genom att swisha ett bidrag till 123 194 47 50 eller bära våra kläder!