Hårdare krav med nya dataskyddsförordningen

Dataskyddsförordningen, eller GDPR som den också kallas, kommer att ställa högre krav på hur företag och organisationer hanterar personuppgifter.

 – Till skillnad från personuppgiftslagen finns det inga undantagsfall i GDPR. Svenska företag har ofta inte behövt tänka på PUL:s existens. Nu kan det bli kostsamt att inte följa reglerna, säger Ralf Lyxell, från advokatfirman Lyxell Florenius, en av de tre utbildarna i den GDPR-utbildning som Handelskammaren Värmland arrangerat.

Att frågorna kring den nya förordningen är många märks inte minst på det stora intresset för utbildningen. Fem av fem utbildningstillfällen har varit fullbokade och många hör av sig och frågar om fler.

– Det här berör alla företag och organisationer, stora som små. En personuppgift är allt som kan kopplas till en individ. Det kan vara namn, e-post, men också mer indirekta uppgifter så som en bils registrerings- eller en dators IP-nummer, förklarar Ralf Lyxell.

Att GDPR tillkommit beror på flera saker. Dels har tillämpningen tidigare sett väldigt olika ut i olika EU-länder, vilket anses skapa handelshinder. Dels är reglerna inte anpassade för dagens digitala samhälle, där mängden insamlade personuppgifter och användande av sociala medier exploderat.
–  Syftet är i grund och botten att öka medborgarnas skydd för deras personliga integritet.

Reglerna träder i kraft den 25 maj 2018 och än återstår mycket att göra hos många företag.
– Väldigt få svenska företag är förberedda, i och med att de inte behövt följa PUL har de inte behövt bry sig, menar Ralf Lyxell.

Datainspektionen kontrollerar

Ansvarig för att kontrollera att dataskyddsförordningen följs är Datainspektionen.
– Datainspektionen kan göra en tillsyn som en ren kontroll eller efter att ha fått klagomål från konsument.

I teorin kan det bli böter på så mycket som 4 procent av den totala årsomsättningen för den som inte följer reglerna. Plus skadestånd till den registrerade. Men även om det kan bli dryga böter tror inte Ralf Lyxell att det kommer att höra till vanligheterna.
– I normalfallet kommer företaget troligen bli tillsagda att rätta till felen inom en viss tid. Om inte det görs kan det bli böter.

För den som har en företagssida på sociala medier gäller det att vara vaksam på vad man publicerar. Namn och bilder på personer kan utgöra personuppgifter och publicering måste stå i överensstämmelse med GDPR. Sannolikt behöver företag bli avsevärt mer restriktiva med sådan publicering i framtiden.
– Precis som all insamling kommer det att ställas högre krav på samtycke. På något vis kommer du troligen att behöva personens godkännande innan de dyker upp i ert flöde.

Dokumentation A och O

Ralf Lyxells tips till de företag som ännu inte påbörjat arbetet med GDPR är att informera sig och kartlägga hur personuppgifter behandlas i den egna organisationen.
– För det första är det viktigt att förstå vad en personuppgift och vad behandling av personuppgifter faktiskt är, för att sedan se över hur dessa hanteras i verksamheten, både vad gäller anställda och kunder.

När det väl är gjort handlar det mycket om att dokumentera och skapa policyer kring insamling och hantering är personuppgifter.
-Har man skrivit ner hur man tänkt kring sin personuppgiftshantering har man kommit långt. Det är viktigt att kunna visa hur och varför uppgifterna har samlats in.

GDPR

GDPR är en förkortning av General Data Protection Regulation. På svenska har den namnet Dataskyddsförordningen. GDPR träder i kraft 25 maj 2018 och gäller då i samtliga EU:s medlemsländer. Mer information om Dataskyddsförordningen finns att läsa på datainspektionens webbsida, www.datainspektionen.se.