Klockan tickar för GDPR. Foto: Getty Images

GDPR – Kan jag fortsätta lagra i molnet?

Samuel Karlsson

Publicerades: 18 maj, 2018

Datumet då nya dataskyddsförordningen, GDPR, ska träda i kraft närmar sig och stressen ökar. Här är svar på åtta av de vanligaste frågorna.

Hör du till dem som känner adrenalinet stiga inför 25 maj då GDPR-lagen träder i kraft? Då är du inte ensam. Vi bad Datainspektionen om svar på några vanliga frågor. Det är myndigheten som är satt att granska att företagen faktiskt gör rätt.

Du behöver inte rapportera in till Datainspektionen hur du agerar, däremot skriva ner hur du resonerar kring alla personuppgifter som du behandlar, för att kunna visa dokumentationen vid en eventuell inspektion framöver.

LÄS OCKSÅ: 3 tips i sista minuten

1. OK med molntjänster?

Jag använder molntjänster från Google och Dropbox för nästan all administration i mitt företag, hur funkar det om molnföretagen ligger utanför Europa?

Svar:

Att uppgifter lagras utanför EU betyder inte att det är omöjligt få använda dem. Men det kan innebära ett extra steg. Först behöver ditt företag ha en rättslig grund för att behandla uppgifterna över huvud taget, ett personuppgiftsbiträdesavtal med molnföretaget och sedan stöd för att få föra över uppgifter till tredje land. Man kan finna olika stöd i lagstiftningen för det. Ett sätt är att mottagaren i USA har anslutit sig till privacy shield, ett sätt för amerikanska bolag att visa att de skyddar uppgifterna. I praktiken väntas Google och andra liknande aktörer på det här sättet anpassa sig genom att visa att de står under kontroll av amerikanska myndigheter.

2. Kan jag spara mejl?

Jag har sparat mejlkonversationer sedan jag startade mitt företag. Måste jag radera dem nu? Och i så fall – hur långt tillbaka?

Svar: 

Här är ändamålet viktigt. Du måste kunna tala om varför du har sparat konversationerna och ha ett berättigat ändamål för det. Ett skäl kan vara att du behöver kunna söka upp information om leveranser, priser etcetera för att kunna hålla dina avtal. Det är också möjligt att spara uppgifterna med stöd av så kallad intresseavvägning. Då handlar det om hur starkt behovet är i förhållande till uppgifternas känslighet. Ju harmlösare uppgifter är desto lägre blir kravet.

3. Radera i kalendern?

Kan min digitala kalender klassas som ett register? Jag sparar information där om uppdrag och kunder som är knutna till vissa datum.

Svar: 

Du kan säkert hitta stöd för att kunna ha uppgifter i kalendern. Men du måste ändå följa alla regler när du behandlar uppgifter. Det blir lite krångligare nu, inte minst med tanke på att de personer vars uppgifter du har i kalender har rätt att få information om att du behandlar uppgifter om dem. Att lagra är att behandla, även om du inte gör något med uppgiften. Hur ska du informera? Ett sätt kan vara att lämna information i mejlsignaturen eller när du skickar ut en inbjudan med hjälp av kalendern.

4. Bokföringsbyrån då?

Jag har förstått att den bokföringsbyrå jag driver fungerar som personuppgiftsbiträde. Betyder det att jag måste kontrollera att alla mina kunder följer lagen?

Svar: 

Om du i ditt företag behandlar personuppgifter för kundföretag, exempelvis lönelistor, ska du ha ett personuppgiftsbiträdesavtal med varje kund. Men biträdet har sina skyldigheter att uppfylla enligt GDPR, bland annat att förvara uppgifterna säkert och rapportera incidenter till kundföretaget.

Som bokföringsbyrå har du ansvar för att behandla kundens personuppgifter enligt kundens instruktioner samt uppfylla de krav som ställs på dig som biträde.

5. Är en sajt ett register?

Kan en sajt betraktas som ett register om man har namn och bild på olika personer där? Jag har bilder på personalen och på kunder som har skickat in bilder själva i samband med att de har gett omdömen.

Svar: 

Bilder betraktas som personuppgifter om de kan kopplas till en viss person, det vill säga det går att se vem personen på bilden är. Då ska de behandlas på samma sätt som andra personuppgifter. När GDPR börjar tillämpas har det inte längre någon betydelse om sajten ses som ett register eller inte.

6. Samtycke för utskick?

Jag gör ett nyhetsbrev som man kan prenumerera på. Hur gör jag nu – måste jag be om prenumeranternas samtycke?

Svar: 

Det finns undantag i GDPR när det gäller journalistiska ändamål. Du behöver inte vara journalist för att omfattas av undantaget, men de flesta som inte är journalister skickar oftast snarare ut marknadsföring än journalistik. Då gäller GDPR och även marknadsföringslagen.

Samtycke en möjlighet för dig, men det går att hitta andra rättsliga grunder för att få behandla personuppgifter. Det kan till exempel vara en intresseavvägning. 

7. Hur hårda straff blir det?

Hur hårt kommer Datainspektionen att bedöma företag som inte klarar att leva upp till GDPR?

Svar:

Datainspektionen måste prioritera i sin verksamhet och ta det som är viktigast först. Det innebär inte att små företagare går fria. 

Men många har blivit onödigt skrämda av maxbeloppen. Det blir förmodligen inte vanligt att Datainspektionen dömer ut maximala sanktionsavgifter. Den företagare som har gjort sitt bästa, tänkt över sina register och gjort bedömningar som går att argumentera för, ligger mycket bättre till än den som inte har gjort något alls. Det är viktigt att dokumentera det man gör.

Dessutom kommer Datainspektionen också att arbeta med varningar, reprimander och förelägganden om inspektionen upptäcker att något behöver rättas till. Samtidigt måste inspektionen anpassa sig efter övriga Europa för konkurrensens skull.

8. Gäller försäkringen?

Kan företagsförsäkringen täcka
GDPR-relaterade händelser? Till exempel den straffavgift som kan komma att utmätas om något inträffar så att person-
uppgifter hamnar i orätta händer, till exempel om en hårddisk blir stulen eller en molntjänst hackas?

Svar: 

I ett företags ansvarsförsäkring finns en omfattning som till viss del skyddar vid denna typ av händelse. Det som försäkringen hjälper till med är att ersätta skadeståndskrav som riktas mot företaget från dem som lidit skada. Däremot omfattas inte vite, böter, straffavgift eller liknande som företaget kan tvingas betala. Det är alltså en viktig skiljelinje mellan skadestånd (att någon faktiskt har drabbats av en skada) och böter, vite, straffavgift etcetera, eftersom dessa är sanktionsavgifter mot företaget på grund av slarv eller bristande rutiner – oavsett om någon har drabbats av skada eller ej. Böter och vite är straffansvar mot företaget eftersom de inte har följt lagen. Det kan aldrig försäkras.

(Detta svar kommer från försäkringsbolag.)

LÄS OCKSÅ: Så kommer du igång med nya registerlagen

6 olika rättsliga grunder

1. Samtycke

Ställer särskilda krav, bland annat att man kan visa ett giltigt samtycke från varje registrerad person.

2. Avtal

Till exempel när behandling krävs för att kunna fullfölja ett avtal, till exempel i samband med kund- och personaladministrativa system.

3. Rättslig förpliktelse

Behandling som krävs för att man ska upp-
fylla EU-rätt eller svensk rätt, till exempel krav på bokföring.

4. Skydda grundläggande intressen

Avser grundläggande intressen för den registrerade, som till exempel kan vara livsavgörande vård i akuta situationer.

5. Allmänt intresse och myndighetsutövning

Gäller exempelvis uppgifter som ska lämnas till Skatteverket.

6. Intresseavvägning

Om man kan visa att företagets intressen väger tyngre än den registrerades.

Läs mer på: datainspektionen.se

LÄS OCKSÅ: Miljonböter om du gör fel