Klarar ditt företag de nya dataskyddsreglerna?

I maj 2018 införs nya regler kring insamling och lagring av personuppgifter. Individens integritet ska värnas och människor ska själva bestämma över sina personuppgifter och hur de får användas. Detta innebär mycket högre krav på systematiskt arbete med dataskyddsfrågor, säger experter.

I den här artikeln får du tips vad du som företagare bör tänka på inför de nya reglerna. Vill du få kontakt med oss direkt? Maila dina frågor till vår expert Emil Rimling 

Digitaliseringen och näthandeln har gjort att mängden data om konsumenter som samlas in och lagras hela tiden ökar. I dag regleras hanteringen av personuppgifter i Sverige av Personuppgiftslagen, PUL. Den härstammar från 1995, då internet och e-handel nätt och jämnt var uppfunnet och privatpersoner sällan beställde varor från utlandet.

Det är hög tid för en modernisering, med andra ord. Och år 2015 kom EU överens om nya dataskyddsregler som ska träda i kraft i maj 2018: GDPR, General Data Protection Regulation, är en del i EU:s arbete med att stärka utvecklingen av en digital inre marknad.

Syftet är att skydda konsumenterna och tydliggöra vem som äger deras personuppgifter:

– De nya reglerna tar höjd för att människor i dag lämnar ut mycket fler uppgifter om sig själva på sociala medier och i andra kanaler, utan att alltid tänka igenom hur dessa kan användas. De nya reglerna hjälper konsumenterna värna om och bibehålla sin integritet, säger Emil Rimling, Information Security Officer på Svea Ekonomi.

Data är dagens hårdvaluta

I en digital värld är data hårdvaluta. Mycket av det som kallas big data är inget annat än insamlade personuppgifter som kan användas för att personalisera marknadsföring och erbjudande. Utökad lagringskapacitet, snabbare processorer och möjligheter till molnlagring river gränserna för hur mycket data som kan samlas in och lagras. GDPR gör det enklare för konsumenterna att sätta sina egna gränser, påpekar Emil Rimling:

Och de har rätt att få veta det när som helst, hur ofta som helst. PUL medger bara att man undersöker detta en gång per år.

Fler tips från Emil Rimling i artikeln "Tänk Pragmatiskt"

Han håller med om att den svindlande teknikutvecklingen kan ha bidragit till ett stundtals överdrivet informationsinsamlande:

– Traditionellt har det nog samlats in mer uppgifter än vad som egentligen är nödvändigt och många företag saknar en plan för hur man hanterar informationen efter att kundrelationen har upphört. Enligt GDPR får du inte lagra information om kunden längre tid än du behöver för att kunna uppfylla ditt åtagande gentemot kunden.

Innebär GDPR slutet för big data?

– Absolut inte, men företag som vill spara personuppgifter längre än vad som är nödvändigt med hänsyn till kundrelationen måste anonymisera uppgifterna så att de inte går att härleda till enskilda individer.

Fler tips - läs artikeln "Sex frågor om GDPR"
En intervju med Mats Juhlén, konsult inom informationssäkerhet på Atea.

Höga böter

Slentrianmässig lagring av data bara för att man inte orkar gallra eller tror de ”kan vara bra att ha” går bort, med andra ord. En annan skillnad mot i dag är att företag som bryter mot de nya dataskyddsreglerna kan dömas till höga böter, på upp till fyra procent av omsättningen eller max 20 miljoner euro.

Innebär GDPR att man inte får samla in eller spara några data utan att först inhämta kundens samtycke?

– Nej, svarar Emil Rimling:

– När det handlar om köp finns ju oftast ett avtal i botten, och för att kunna fullgöra sin del av avtalet måste företaget ha tillgång till personuppgifter som adress, kontokortsnummer och annat. Du måste dock vara tydlig med vilken information du samlar in och varför du gör det.

Men, om inget köp är aktuellt och syftet är marknadsföring?

– I de fall det handlar om marknadsföring föreligger ju inget avtal. Och där måste kunden ges en möjlighet att slippa få information om sig lagrad, och framför allt slippa att den delas med andra företag som har andra syften.

Ett fall när det däremot är fritt fram att inhämta och lagra personuppgifter utan samtycke är om det finns en laglig grund för företaget att göra detta. Penningtvättslagen och konsumentkreditlagen är några exempel på områden som berör i synnerhet finansmarknadsbolag som vi själva.

– Vi måste be om de uppgifter kring inkomst och annat som krävs för att vi ska kunna genomföra en sund och rättvis kreditprövning, vare sig det handlar om lån eller köp på avbetalning.

”Vi tar ett stort ansvar”

Vi på Svea Ekonomi har följaktligen lång erfarenhet av att hantera känslig data på ett säkert sätt och med stor respekt för kundens integritet:

– Vi hanterar uppgifter som skulle kunna vara väldigt känsliga för individen om de kom i fel händer. Därför har informationssäkerhet alltid varit ytterst viktigt för oss och vi tar ett stort ansvar för de personuppgifter som vi samlar in, konstaterar Emil Rimling.

Vi utbildar även samtliga anställda i GDPR. Vi har använt oss av en mailbaserad utbildning som ger en kort lättläst lektion i veckan. Detta skapar intresse och nyfikenhet utan att inkräkta på det dagliga arbetsuppgifterna.

Företagen måste också, i och med GDPR, tydligare än tidigare visa att man är aktsam, och att kundernas data inte kan stjälas genom till exempel hackning eller stöld av hårdvara.

– De måste identifiera risker, studera hur informationen färdas och vilka tekniska enheter och plattformar i företaget som har åtkomst till data.

Men det finns en uppsida med detta arbete:

– Företaget uppnår en bättre förståelse för, och en god genomlysning av, sina risker kopplat till hantering av personuppgifter. Förtroende är a och o för ett företags verksamhet. Att en handlare tar hand om kundernas personuppgifter på bästa sätt är en del i att bygga förtroende. Så det är definitivt en fördel för slutkunderna att veta att data hanteras bättre och säkrare.