Förbered ditt företag för GDPR


25 maj 2018 ersätts PuL av den nya dataskydds­förordningen, GDPR. Den gäller då som lag i samtliga EU‑länder.

25 maj 2018 ersätts PuL av den nya dataskydds­förordningen, GDPR (General Data Protection Regulation). Den gäller då som lag i samtliga EU‑länder. Företag som inte hanterar sina person­uppgifter rätt riskerar kännbara sanktions­avgifter.

Det kan tyckas att det är lång tid innan lagen börjar gälla, men det är hög tid att börja gå igenom företagets rutiner för att hinna göra de anpassningar som krävs. Särskilt för lite större företag. Nya rutiner och processer kommer att behövas hos alla företag som hanterar person­uppgifter.

Kristina Svahn StarrsjöDen nya förordningen ställer hårdare krav än tidigare.

– Den här reformen kommer att få stora konsekvenser för företag, myndigheter och andra organisationer som hanterar person­uppgifter och kommer också att stärka skyddet och rättigheterna för de personer vars uppgifter registreras, säger Datainspektionens generaldirektör Kristina Svahn Starrsjö i ett press­meddelande.

 

Hur använder företag och organisationer de person­uppgifter som samlas in från kunder, medlemmar och deltagare? Hur lämnas de ut till eventuella samarbets­partners? Hur länge sparas de? Hur inhämtas samtycke från dem som registreras och hur sköts kontrollen av vem som har rätt att behandla person­uppgifter? I värsta fall kan ditt företag dömas till kännbara sanktionsavgifter om tillsyns­myndigheten inte anser att svaren på dessa frågor är tillfreds­ställande. Sanktions­avgiften kan bli ända upp till 4 procent av företagets totala omsättning.

Om ditt bolag omsätter exempelvis 30 miljoner kronor kan avgifterna nå upp till 1,2 miljoner kronor om lagen inte följs. En annan viktig nyhet i den nya förordningen är att företag med komplex behandling av person­uppgifter kan komma att behöva ett dataskydds­ombud. Den nya lagen lägger stor vikt vid att företaget eller organisationen kan visa att förordningen följs, vilket skärper kraven på dokumentation. Fullständig information finner du på Datainspektionens webbplats.

Förbered ditt företag i tid

Nedan listas några av de viktigaste frågorna att svara på och dokumentera inför lagändringen:

Vilka personuppgifter hanterar ni i företaget?

 Inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut.

Vilken information lämnar ni?

 Granska den information ni lämnar till de personer som är registrerade hos er och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra.

Använder ni missbruksregeln i dag?

Personuppgiftslagens undantag för att behandla person­uppgifter i ostrukturerat material, den så kallade missbruksregeln, upphör att gälla. Kontrollera därför om behandling som i dag stödjer sig på missbruks­regeln är förenlig med den nya lagen.

Hur ska ni tillmötesgå de registrerades rättigheter?

Hur ser rutinerna ut när någon begär en rättelse i era system? Kan era system hjälpa er att hitta och rätta uppgifterna? Vem beslutar om att uppgifter ska rättas?

Hur inhämtar ni samtycke eller ser till att registrering är laglig?

Undersök om nuvarande rutiner räcker för att tillmötesgå dataskydds­förordningens utökade krav på öppenhet och de registrerades rättigheter. Krav på samtycke kan få stor påverkan på budget, it‑system, personal, styrning och kommunikation. Hur kan företaget i efterhand visa att ett giltigt samtycke har lämnats? Ofta är samtycke varken en möjlig eller lämplig grund för att lagligen motivera personuppgifts­behandling. Andra lagliga grunder som är viktiga är att behandlingen av person­uppgifter är nödvändig för att:

  • Fullgöra ett avtal
  • Fullgöra en laglig förpliktelse
  • Fullgöra ett enskilt intresse (företagets intresse väger tyngre än den enskildes intresse).

Vem eller vilka ansvarar för dataskyddsfrågor i er organisation?

Dataskydds­förordningen ställer höga krav på företagets organisation och uppföljning av personuppgifts­behandlingen. Bestäm därför var i organisationen ansvaret för dataskyddsfrågor ska ligga.

En bra start

Advokat Claes Månsson, som har lång erfarenhet av området, listar här ett antal punkter. De är en bra start för att kartlägga företagets behandling av personuppgifter och påbörja regel­efterlevnaden

  • Vilka it-system har företaget för att registrera personuppgifter?
  • Vilket är ändamålet med att företaget registrerar dessa personuppgifter?
  • Är uppgifterna nödvändiga för att företaget ska kunna utföra sin affär?
  • Minimera antalet uppgifter och minimera lagringstiden
  • Sätt upp en struktur för lagringstid och gallring
  • Inför en strikt informationsstrategi för när och hur företaget ska överföra information till de registrerade
  • Sträva efter öppenhet. Det ska framstå som självklart för den registrerade att företaget både behöver uppgifterna och att uppgifterna behandlas korrekt
  • Säkerhetsfrågor som åtkomstskydd, behörighetskontroll och loggning är viktiga och dess funktion ska kunna kontrolleras
  • Utlämnande av uppgifter utanför EU kräver särskild regelefterlevnad

Claes Månsson

Bild: Claes Månsson

Published in category Kunskap