Vilka är de viktigaste skillnaderna mellan GDPR och PuL för bolag?

För bolag, myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav i och med att GDPR införs.

Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, om incidenten är allvarlig. Det kan den vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

Om ett bolag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker så måste bolaget först göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter, en så kallad konsekvensbedömning avseende dataskydd. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. Skulle analysen visa att risken är hög, måste bolaget kontakta Datainspektionen som då ska göra en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.

En annan mycket påtaglig skillnad är nivån på bötesbelopp. När GDPR-förordningen träder i kraft kan bötesbelopp på upp till 20 miljoner euro eller 4 % av den globala omsättningen utfärdas.