Den 25:e maj 2018 får EU en ny gemensam lag som reglerar hur bland annat företag behandlar personuppgifter. I sverige är det den lag som ersätter vår personuppgiftslag (PUL). Kortfattat så handlar dataskydd om att inte samla in fler personuppgifter än vad som är nödvändigt, och enbart i ett visst, förutbestämt, ändamål.
I nästan 20 år har PUL styrt vem som får hantera vilken typ personuppgifter. I och med den nya GDPR-lagen gäller det att förbereda sig och sina kunder på vad den innebär. GDPR, general data protection regulation, reglerar hur information, direkt eller indirekt, kan knytas till en person eller hur den får lov att användas.
I en liten mini-bloggserie kommer vi att gå igenom de grundläggande delarna av GDPR. För att du ska få en fullständig inblick i vad som gäller så hänvisar vi dig till datainspektionens hemsida för all fullständig information.
Vad är en personuppgift?
En personuppgift är all slags information som kan knytas till en fysisk levande person. En typisk personuppgift är ett personnummer, ett namn eller en andress. Även ett foto på en person kan klassas som en personuppgift. Ett bolagsnummer är ofta inte en personuppgift men det kan vara det om om det handlar om en enskild näringsverksamhet. Ett registreringsnummer på en bil kan vara en personuppgift om den går att knyta till en fysisk person medans en bil som används av flera, exempelvis en firmabil inte behöver vara det.
När får man samla in personuppgifter?
Personuppgifter får samlas in för särskilda och uttryckligen angivna och förutbestämda ändamål. Personuppgifterna få inte i ett senare skede användas på ett sätt som inte tidigare var tänkt att användas till. Det finns vissa rättsliga förpliktelser som gör att företag är skyldiga att registrera personuppgifter. Exempel på dessa kan vara att uppfylla bokföringsskyldigheten i bokföringslagen, genom olika typa av avtal. Ett anställningsavtal, ett kundavtal eller ett leverantörsavtal. Man måste också registrera uppgifter i de fall man ber om samtycke för att exempelvis lagra uppgifter. Ett samtycke enligt GDPR är “ varje slags frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandlingen av personuppgifter som rör honom eller henne”.
Den stora skillnad från tidigare lagar så som PUL är att man inte får spara personuppgifter för länge. Det vill säga, om de inte längre behövs för det syftet som de en gång samlades in för så ska de tas bort. För ett företag innebär det till exempel att man inte får spara uppgifter om personer som inte längre är kunder och de måste tas bort från systemet. Normal Praxis är att personuppgifter om en tidigare kund i normala fall får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört. Men kom också ihåg att det kan finnas krav i annan lagstiftning som innebär att du måste spara vissa uppgifter under en viss tid. Exempelvis i arkivändamål eller i bokföringslagen.
När ni samlar in uppgifter om en person så måste ni fråga och informera den personen om att ni lagrar dess personuppgifter. Kortfattat handlar det om att ni informerar om att ni samlar in personens personuppgifter, vilka uppgifter det är ni samlar in, varför ni gör det och om ni kommer att lämna över dem till andra.
Säkerheten är viktig
Ur ert företags synvinkel är det viktigt att skydda personuppgifterna som ni hanterar. Särskilt med tanke på att de inte stjäls, oavsiktligt raderas eller ändras. Ett nytt krav i lagen är att om det sker en personuppgiftsincident så är ni skyldiga att rapportera den till dataskyddsinspektionen. En incident kan till exempel vara ett dataintrång på en server, att en anställd obehörigt har tagit del av personuppgifter eller att du förlorar en mobiltelefon där din jobbmail är synkad till som behandlar personuppgifter eller känslig data. Det viktigaste är att ni ser över ett skydd och att ni tar hand om och lagrar personuppgifter på ett så säkert sätt som är möjligt.
Det finns vissa uppgifter som vissa bolag sparar i syfte att få en bättre kontakt med kunden, exempelvis hur många barn hen har eller om den spelar golf. Överlag kan man säga att om du vill lagra dessa uppgifter behöver du samtycke till det fortsättningsvis.
Vad måste vi göra på vårt företag?
Alla företag och organisationer är enligt GDPR skyldiga att ha ett register som beskriver de olika sätt som man hanterar personuppgifter på. Vem internt är ansvarig för ett visst register eller ett it-system. Vad används registret eller systemet till och vilka typer av personer är det som förekommer i det.
De företag som inte följer den nya lagstiftningen kan komma att betala en sanktionsavgift (vilket är en form av böter). Den kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen för bolaget. Du blir dock först skyldig efter en varning, en reprimand och därefter kan du få en sanktionsavgift som bedöms utifrån hur incidenten ser ut.
Det finns så många olika delar inom dataskydd, därför är det svårt att täcka alla delar i ett blogginlägg. Du bör därför besöka datainspektionen.se/dataskyddsreformen för att läsa mer om alla de krav och bedömningar som kan bli aktuella i samband med att personuppgifter hanteras och samlas in.
Nästa del
I nästa del kommer vi att lära oss mer om GDPR i marknadsföring, kommunikation och sociala medier.
Vi rekommenderar dig att läsa mer om GDPR på datainspektionens hemsida. Där finner du all information och fullständiga regler för hur du ska hantera den nya förordningen.
Läs mer här: https://www.datainspektionen.se/dataskyddsreformen/
Läs våra andra delar:
• Del 1 – En miniserie om GDPR
• Del 3 – GDPR i marknadsföring, kommunikation och sociala medier.
