Hur GDPR kommer att skydda individer

Med den alarmerande ökningen av dataöverträdelser, tvingar EU General Data Protection Regulation(GDPR) organisationer att ompröva hur mycket personuppgifter de behöver och hur länge de behöver det.

Men det är inte bara organisationer som måste ägna större uppmärksamhet åt hur personuppgifter samlas in.Individernas nya och förstärkta rättigheter enligt GDPR kommer att få dem att tänka på hur deras data samlas in och används på ett sätt som de kanske aldrig har gjort tidigare.

Människor kommer att få mer information

När GDPR träder i kraft den 25 maj 2018 kommer individer att ges frekventa, djupgående och transparenta meddelanden från organisationer som vill samla in sina uppgifter.Det beror på att förordningen stärker människors rätt att bli informerade och gör ändringar i kravet på samtycke.

Som namnet antyder, kräver rätten att bli informerad om att organisationer ska berätta för individer hur deras personuppgifter ska användas. Vissa organisationer har redan genomfört denna förändring med avseende på cookie policy´s.De flesta webbplatser har antagit mjukt invalt samtycke, vilket presenterar användare som besöker en webbplats för första gången med ett meddelande som informerar dem om organisationens cookie policy.Meddelandet förblir tydligt på sidan tills användaren godkänner det, eller lämnar webbplatsen.

Sådana meddelanden kommer förmodligen att bli standardpraxis online, vilket innebär att individer regelbundet kommer att påminnas om hur mycket organisationer förlitar sig på dess uppgifter.

Detsamma gäller för alla datainsamlingspraxis som bygger på samtycke.Alla tillståndsförfrågningar måste vara tydliga om människors möjligheter att samtycka till olika typer av bearbetning, och vilka organisationer och tredje parter som kommer att förlita sig på deras samtycke.

Samtyckesförfrågningar måste även uppfylla andra kriterier, men väsentligt måste samtycke ges med en tydlig bekräftande åtgärd.

Det är värt att notera att samtycke endast är ett av sex lagliga skäl för behandling av data, och det är det minst föredragna för organisationer.Därför bör organisationer endast förlita sig på det om ingen av de andra skälen gäller.

Individer kan kommunicera med organisationer

GDPR gör det enklare för enskilda att få sina uppgifter korrigerade, begränsade eller raderade.Det verkställer detta genom fyra rättigheter.

Den första är rätten att invända, där individer kan tävla:

Bearbetning baserad på legitima intressen eller utförandet av en uppgift av allmänt intresse eller genom en officiell myndighet.Om en enskild bestrider detta måste organisationen sluta behandla sin data om den inte kan visa övertygande legitima intressen för bearbetningen eller om behandlingen är för etablering, övning eller försvar av rättsliga krav.

  • Bearbetning för direktmarknadsföring.Om en individ invänder, måste organisationen sluta behandla personuppgifterna omedelbart.
  • Behandling för vetenskaplig eller historisk forskning och statistik.Individer kan endast göra invändningar mot denna typ av bearbetning om de har “skäl som rör hans eller hennes speciella situation”.

Den andra är rätten till rättelse, som gäller när informationen en organisation innehar är felaktig eller ofullständig.Individer har rätt att kontakta organisationen och begära att denna information uppdateras.

Den tredje är rätten att radera (även känd som rätten att glömma), där individer kan begära att en organisation raderar uppgifterna som berör dem om:

  • Det behövs inte längre för det syfte som det ursprungligen samlades in för;
  • Det finns inget övergripande legitimt intresse för att fortsätta bearbetningen;
  • Personuppgifterna behandlades olagligt;
  • Personuppgifterna måste raderas för att uppfylla en laglig skyldighet; eller
  • Personuppgifterna behandlas för en informationssamhällstjänst som tillhandahålls till ett barn.

Om en individ samtyckte till behandlingen av deras uppgifter har de rätt att återkalla detta samtycke och därför begära att uppgifter som åberopats på grundval av uppgifter avlägsnas.

Den fjärde är rätten att begränsa bearbetningen.När bearbetningen är begränsad kan organisationer kvarhålla data, men de kan inte längre bearbeta den.

Personer kan utöva denna rätt om de anser att uppgifterna är felaktiga eller att de motsätter sig behandlingen på grund av berättigat intresse eller utförandet av en offentlig uppgift.Under dessa omständigheter bör bearbetningen avbrytas tills ärendet är löst.

Personer kan även utöva denna rätt om behandlingen är olaglig, men de föredrar en begränsning att radera, eller om organisationen inte behöver personuppgifterna längre, men de behöver uppgifterna för att upprätta, utöva eller försvara en rättslig fordran.

Läs mer om GDPR

Om du vill veta mer om hur registrerade rättigheter förändras under GDPR, bör du läsa EU GDPR – En Pocket Guide.Skriven av IT Governance´s grundare och verkställande ordförande, Alan Calder, är denna guide den perfekta resursen för alla som letar efter en lärobok om principerna om dataskydd och organisationernas skyldigheter enligt GDPR.

Läs mer om EU GDPR – En Fickguide >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.