Skillnader GDPR och PUL

Är det någon skillnad mellan PUL och GDPR?

Svar: Ja, det finns skillnader mellan PUL och GDPR. Den mest uppmärksammade skillnaden är skillnaderna i påföljd om man bryter mot lagen. Det finns också skillnader i vad som är tillåtet, den största förändringen är att missbruksregeln försvinner i och med GDPR. Det finns också skillnader i kraven på dokumentation där GDPR ställer betydligt högre krav.

Brott mot PUL ger sällan kännbara påföljder. Brott mot GDPR kan vid allvarliga överträdelser leda till böter på maximalt 20 miljoner euro eller 4 % av koncernens globala omsättning. Det högsta av beloppen är tak för bötessumman.

Vilka dokumentationskrav ställer GDPR?

Svar: GDPR ställer höga krav på dokumentation som visar att lagen följs.

Det viktigaste man behöver dokumentera är:

• Inventering av system/processer
• Klassning av personuppgifternas känslighet
• Beskrivning av vilken laglig grund som behandlingen/lagringen stödjer sig på
• Om man behandlar känsliga personuppgifter: konsekvensbeskrivningar
• Rutinbeskrivningar för teknisk och administrativ personal
• Rapportvägar för hantering av dataintrång och andra personuppgiftsincidenter

GDPR förbjuder all lagring och behandling av personuppgifter utan dokumentation om varför hanteringen är laglig. Det blir därför viktigt att dokumentera (och underhålla) kopplingen mellan varje personuppgift och anledningen till varför det är lagligt att hantera just den uppgiften:

• Är lagringen/behandlingen laglig för att det finns ett samtycke? Vilket samtycke? Gäller det fortfarande?
• Är lagringen/behandlingen laglig för att det finns ”annan laglig grund”? Vilken laglig grund? Gäller den fortfarande?

Vad är ”missbruksregeln”?

Svar: PUL tillåter lagring och hantering av personuppgifter så länge som (1) personuppgifterna inte är kränkande och (2) de lagras på andra sätt än i traditionella databaser. Detta undantag i PUL kallas ibland ”missbruksregeln”. Exempelvis så räknas ljudfiler, bilder och löpande text i bloggar som ”information i ostrukturerad form” och får därför, så länge PUL gäller,  hanteras fritt bara de inte är kränkande.

När GDPR träder i kraft den 25 maj 2018 får ingen personinformation längre lagras/behandlas utan dokumenterat samtycke, annan laglig grund eller att informationen är av rent privat karaktär. Detta kommer även att gälla bloggar, bilder, innehåll i textfiler, ljudupptagningar m.m.

Tips! Om din organisation har en blogg så är det en bra idé att skaffa ett utgivningsbevis för den. Utan utgivningsbevis begår du ett brott om du publicerar personuppgifter utan samtycke från och med den 25 maj 2018. Med ett utgivningsbevis så har din webbplats samma lagliga skydd som exempelvis en dagstidning, vilket innebär att ribban höjs kraftigt innan någon kan stämma dig. Ansök om utgivningsbevis hos Myndigheten för press, radio och TV.