Bli redo för GDPR – kan ge miljonböter vid fel
4 januari,
2018
•
4 minuters läsning
Foto: Den 25 maj gäller det. Foto: Getty Images
Har du någon form av kundregister? I så fall betyder det att även du omfattas av nya dataskyddsförordningen, GDPR. Se till att förbereda dig redan nu, annars kan det bli dyrt!
Den 25 maj 2018 ersätts PuL (personuppgiftlagen) av den nya dataskyddsförordningen, GDPR (General Data Protection Regulation). I korthet handlar det om att personer som finns i dina register har rätt att bli borttagna. Och det ställer i sin tur krav på hur du hanterar uppgifterna.
Rent praktiskt innebär det att ditt företag måste ha nya rutiner på plats för att stärka skyddet och rättigheterna för de personer vars uppgifter registreras.
Men har du det? När säkerhetsföretaget NTT Security beställde en undersökning om hur väl företagen känner till den nya lagen, visade det sig att mer än hälften av dem som svarade inte trodde att den berör dem. Det är fel. Nästan alla företag berörs.
GDPR gäller alla företag som har något slags personregister, som till exempel kundregister eller register över egna personalen. Delar du dina kunduppgifter med en tredje part, som en distributör till exempel, blir du skyldig att ha kontroll på vilka filer som tredje parten får del av. Den ska sedan hantera filerna i enlighet med nya lagen.
Den stora skillnaden mot gamla PuL är att den som inte hanterar sina register rätt riskerar sanktionsavgifter som kan bli ända upp till fyra procent av företagets totala omsättning.
Det betyder att om ditt bolag omsätter exempelvis 30 miljoner kronor kan avgifterna uppgå upp till hela 1,2 miljoner kronor i avgifter om lagen inte följs.
En annan viktig nyhet är att företag med komplex behandling av personuppgifter kan komma att behöva ett dataskyddsombud. De stora företagen har redan börjat utse sådana, ofta med titeln DPO (Data Protection Officer).
Ett av de viktigaste inslagen i den nya lagen är att företaget eller organisationen ska kunna uppvisa att förordningen följs. Du måste alltså ha dokumentation.
GDPR ska gälla i hela EU, men därutöver har varje land rätt att komplettera med egna regler. I Sverige har regeringen redan kommit med ett sådant kompletteringsförslag, och ytterligare ett är att vänta.
En följd av det blir troligen att man i Sverige kommer att fortsätta hantera personnummer på samma sätt som idag, det vill säga att du som företag måste kunna förklara varför du använder personnummer, och du får inte använda dem mer än nödvändigt för ändamålet.
Se det som att du inte äger uppgifterna, utan lånar dem. Då har du kommit en bit på vägen!
Och tänk på att vara transparent med hur du använder och skyddar uppgifterna. Det kan också vara ett sätt att bygga förtroende.
Inventera och dokumentera vilka personuppgifterna är, hur de samlas in och till vem uppgifterna lämnas ut. Det kan vara kundregister, prospektlistor, medlemslistor och kontaktlistor.
2. Vilken information lämnar ni?
Granska den information ni lämnar om/till de personer som är registrerade hos er och tänk igenom vilka förändringar som kan bli nödvändiga. Det kan handla om hur, varför och till vem ni skickar ut reklam och erbjudanden.
3. Används missbruksregeln?
I PuL fanns ett undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Med ostrukturerat material menas exempelvis e-post och enklare namnlistor som du har i datorn. Missbruksregeln försvinner nu, vilket innebär att om ditt företag i dag stödjer sig på den måste ni ändra rutiner.
4. Hur ska ni möta de registrerades rättigheter?
Hur ser rutinerna ut när någon begär en rättelse i era system? Kan era system hjälpa er att hitta och rätta uppgifterna? Vem beslutar om att uppgifter ska rättas? GDPR kallas ibland för ”lagen om rätten att bli bortglömd”. Alla som finns i dina register ska ha rätt att bli helt borttagna. Klarar ditt företag det?
5. Hur ser ni till att registreringen är laglig?
Det finns olika grunder för att få hålla ett personregister. En sådan grund är samtycke. Men direkt samtycke från de registrerades sida är ofta inte möjligt. Du kan ha registret på andra grunder, till exempel för att:
Det viktiga är att den registrerade ska kunna bli borttagen från ditt register.
6. Vem/vilka ansvarar för dataskyddsfrågor?
Bestäm vem i organisationen som har ansvaret för dataskyddsfrågor, annars riskerar det att falla mellan stolarna.
Den 25 maj 2018 ersätts PuL (personuppgiftlagen) av den nya dataskyddsförordningen, GDPR (General Data Protection Regulation). I korthet handlar det om att personer som finns i dina register har rätt att bli borttagna. Och det ställer i sin tur krav på hur du hanterar uppgifterna.
Rent praktiskt innebär det att ditt företag måste ha nya rutiner på plats för att stärka skyddet och rättigheterna för de personer vars uppgifter registreras.
Men har du det? När säkerhetsföretaget NTT Security beställde en undersökning om hur väl företagen känner till den nya lagen, visade det sig att mer än hälften av dem som svarade inte trodde att den berör dem. Det är fel. Nästan alla företag berörs.
GDPR gäller alla företag som har något slags personregister, som till exempel kundregister eller register över egna personalen. Delar du dina kunduppgifter med en tredje part, som en distributör till exempel, blir du skyldig att ha kontroll på vilka filer som tredje parten får del av. Den ska sedan hantera filerna i enlighet med nya lagen.
Den stora skillnaden mot gamla PuL är att den som inte hanterar sina register rätt riskerar sanktionsavgifter som kan bli ända upp till fyra procent av företagets totala omsättning.
Det betyder att om ditt bolag omsätter exempelvis 30 miljoner kronor kan avgifterna uppgå upp till hela 1,2 miljoner kronor i avgifter om lagen inte följs.
En annan viktig nyhet är att företag med komplex behandling av personuppgifter kan komma att behöva ett dataskyddsombud. De stora företagen har redan börjat utse sådana, ofta med titeln DPO (Data Protection Officer).
Ett av de viktigaste inslagen i den nya lagen är att företaget eller organisationen ska kunna uppvisa att förordningen följs. Du måste alltså ha dokumentation.
GDPR ska gälla i hela EU, men därutöver har varje land rätt att komplettera med egna regler. I Sverige har regeringen redan kommit med ett sådant kompletteringsförslag, och ytterligare ett är att vänta.
En följd av det blir troligen att man i Sverige kommer att fortsätta hantera personnummer på samma sätt som idag, det vill säga att du som företag måste kunna förklara varför du använder personnummer, och du får inte använda dem mer än nödvändigt för ändamålet.
Se det som att du inte äger uppgifterna, utan lånar dem. Då har du kommit en bit på vägen!
Och tänk på att vara transparent med hur du använder och skyddar uppgifterna. Det kan också vara ett sätt att bygga förtroende.
Checklista
Nedan listar advokat Claes Månsson, som har lång erfarenhet av personuppgiftsjuridik, ett antal punkter. De är en bra start för att kartlägga företagets behandling av personuppgifter.- Vilka it-system har företaget för att registrera personuppgifter?
- För vilket ändamål registreras dessa personuppgifter?
- Är uppgifterna nödvändiga för att företaget ska kunna utföra sin affär?
- Minimera antalet uppgifter, minimera lagringstiden.
- Gallra! Många företag slarvar och har kvar exempelvis gamla kunder i sina register. Bestäm när och hur ofta gallringen ska ske.
- Inför en strikt informationsstrategi för när och hur företaget ska överföra information till de registrerade.
- Sträva efter öppenhet. Det ska framstå som självklart för den registrerade att företaget både behöver uppgifterna och att uppgifterna behandlas på det aktuella viset.
- Säkerhetsfrågor som åtkomstskydd, behörighetskontroll och loggning är viktiga ska kunna kontrolleras.
- Utlämnande av uppgifter utanför EU kräver särskild regelefterlevnad.
6 frågor att svara på
Svara på frågorna här nedan och kom igång med GDPR i ditt företag. Ha ett särskilt dokument för dina svar, som du kan ta fram om Datainspektionen kommer.1.Vilka uppgifter hanterar ni?Inventera och dokumentera vilka personuppgifterna är, hur de samlas in och till vem uppgifterna lämnas ut. Det kan vara kundregister, prospektlistor, medlemslistor och kontaktlistor.
2. Vilken information lämnar ni?
Granska den information ni lämnar om/till de personer som är registrerade hos er och tänk igenom vilka förändringar som kan bli nödvändiga. Det kan handla om hur, varför och till vem ni skickar ut reklam och erbjudanden.
3. Används missbruksregeln?
I PuL fanns ett undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Med ostrukturerat material menas exempelvis e-post och enklare namnlistor som du har i datorn. Missbruksregeln försvinner nu, vilket innebär att om ditt företag i dag stödjer sig på den måste ni ändra rutiner.
4. Hur ska ni möta de registrerades rättigheter?
Hur ser rutinerna ut när någon begär en rättelse i era system? Kan era system hjälpa er att hitta och rätta uppgifterna? Vem beslutar om att uppgifter ska rättas? GDPR kallas ibland för ”lagen om rätten att bli bortglömd”. Alla som finns i dina register ska ha rätt att bli helt borttagna. Klarar ditt företag det?
5. Hur ser ni till att registreringen är laglig?
Det finns olika grunder för att få hålla ett personregister. En sådan grund är samtycke. Men direkt samtycke från de registrerades sida är ofta inte möjligt. Du kan ha registret på andra grunder, till exempel för att:
- Fullgöra ett avtal.
- Fullgöra en laglig förpliktelse.
- Fullgöra ett enskilt intresse (ditt företags intresse väger tyngre än den enskildes).
Det viktiga är att den registrerade ska kunna bli borttagen från ditt register.
6. Vem/vilka ansvarar för dataskyddsfrågor?
Bestäm vem i organisationen som har ansvaret för dataskyddsfrågor, annars riskerar det att falla mellan stolarna.
