GDPR: Har du koll på reglerna?
Har du koll på regler om personuppgifter?
Som företagare hanterar du kanske en del personuppgifter. Personuppgifter som du behandlar är t.ex. i samband med att någon lämnar sina kontaktuppgifter, en leverantör skickar uppgifter i ett e-postmeddelande eller anställda lämnar in sin månadsrapport.
Personuppgifter är det som kan identifiera en fysisk person. EU:s dataskyddsförordning, även kallad GDPR efter det engelska namnet General Data Protection Regulation, ställer stora krav på företag att skydda uppgifter om fysiska personer.
Började gälla 2018
Dataskyddsförordningen började gälla den 25 maj 2018. Det påverkar företagets system och ert sätt att hantera uppgifter så att ni följer förordningen och företagets avtal t.ex. med leverantörer av IT-tjänster. Nedan har du en kort introduktion.
Alla företag ska följa de grundläggande reglerna och har nytta att ha det dokumenterat. Men det är bara vissa företag som måste ha dataskyddsombud eller föra register över behandlingar av personuppgifter.
All behandling av personuppgifter ska vara laglig, korrekt och ske på ett öppet sätt för den registrerade. Detta innebär bl.a. att ditt företag ska ha ett stöd för sin behandling av uppgifterna t.ex. efter samtycke, att uppgifterna behövs för att kunna fullfölja ett avtal eller en intresseavvägning. Vissa s.k. känslig personuppgifter får bara behandlas på särskilda grunder.
Viktigt att uppge ändamål
När ditt företag samlar in personuppgifter ska företaget ange ändamålet för insamlingen och uppgifterna får sedan inte användas för ett ändamål som är oförenligt med detta ändamål. Vidare ska ditt företag sträva efter att minimera personuppgifterna så att de inte är för omfattande.
Ditt företag får inte heller lagra personuppgifterna längre än nödvändigt. Vidare ska ditt företag med lämpliga tekniska och organisatoriska åtgärder se till att det finns ett tillräckligt skydd mot bland annat obehörig eller otillåten behandling av personuppgifterna. Ditt företag ska även ha rutiner för att uppgifterna är korrekta och uppdaterade och att felaktiga uppgifter rättas eller raderas.
Ditt företag är ansvarig
Det är ditt företag som personuppgiftsansvarig som ska visa att dessa grundläggande principer följs. Ditt företag ska även ha rutiner för att rapportera säkerhetsincidenter till Datainspektionen.
Personer som är registrerade får ökade rättigheter till exempel att få information när uppgifterna samlas in eller överförs till annan. Men även rätt att få felaktig uppgifter rättade och i vissa fall även raderade eller begränsning av behandlingen. Dessutom har en registrerad rätt att få ut sina personuppgifter för att kunna föra över dem till annan (s.k. dataportabilitet).
Läs i Juridiska FAQ: Gäller GDPR även för mig som driver eget och bara säljer till andra företag?
Böter om inte reglerna följs
Företag som bryter mot reglerna riskerar 20 miljoner euro eller 4 procent av den globala omsättningen i administrativ sanktionsavgift. Dessutom kan enskilda personer begära skadestånd från företag som behandlat deras personuppgifter fel. Detta gör att alla företag har ett starkt incitament att arbeta bättre med frågorna om skydd för personuppgifter.
Detta gör att du behöver se över rutiner, system och avtal för att kunna följa reglerna. Det också vara bra att i samband med detta ställa frågor till leverantörer med flera för att säkerställa att personuppgifterna behandlas korrekt t.ex. om uppgifterna lagras i något land utanför EU vilket bara är tillåtet i vissa fall.
Om du följts personuppgiftslagen (PUL) tidigare regler har du en bra grund. Men många av kraven blir skarpare till exempel är det högre krav på att samtycke ska föregås av information för att vara giltig grund för behandling. Datainspektionen är den svenska tillsynsmyndigheten och du hittar mer utförlig information på deras hemsida.