Dataskyddsförordningen - så påverkas du
Om du driver en verksamhet som samlar, lagrar personuppgifter så måste du rätta dig efter de reglerna som kallas för GDPR. Många företagare kan säkert uppleva de nya reglerna som administrativt betungande men Europeiska kommissionen menar att förändringen kommer att bidra till större förtroende för dataskyddsreglerna, lägre kostnader och en bättre ekonomisk utveckling eftersom samma regler kommer att gälla inom hela EU.
Karin Berggren, jurist på Företagarna, sammanfattar den nya dataskyddsförordningen såhär:
– Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt ändamål. Spara inte uppgifterna längre än nödvändigt. Var säker på att ha stöd för laglig behandling av uppgifterna, till exempel efter en intresseavvägning.
Den som inte följer de nya reglerna kan drabbas av kännbara böter på upp till 20 miljoner euro eller 4 procent av den globala omsättningen, men vägen dit föregås av varningar och reprimander.
Det här är en sammanfattning av vad du måste göra för att leva upp till de nya reglerna i dataskyddsförordningen, enligt Datainspektionen (www.datainspektionen.se):
Kommunikation
● Tala klarspråk! Berätta vem du är när du begär in uppgifter. Säg varför du vill ha kundens uppgifter, hur länge de kommer att lagras och vem som tar emot dem.
Varna
● Informera kunder när ett dataintrång skett, om det medför en allvarlig risk. Ditt företag ska även anmäla så kallade personuppgiftsincidenter till Datainspektionen.
Samtycke
● Skaffa kundens uttryckliga samtycke till att du behandlar uppgifterna efter att du har informerat om bland annat ändamålet. Ditt företag ska ha samtycket dokumenterat. Samlar du in uppgifter från barn till sociala medier? Kolla då upp åldersgränser för insamlingen och begär eventuellt förälders samtycke.
Återtagande av samtycke
● Den som lämnat sitt samtycke ska lika enkelt kunna dra tillbaka sitt samtycke. Ditt företag kan då behöva radera uppgifterna.
”Informera kunder när ett dataintrång skett, om det medför en allvarlig risk”
Andra grunder för laglig behandling än samtycke
● Ditt företag kan ha grund för laglig behandling genom annat än samtycke, till exempel för att uppgifterna är nödvändiga för att hantera ett avtal med personen.
Skydd för känsliga uppgifter
● Använd extra skydd när det gäller information om exempelvis hälsa, sexuell läggning, religion och politisk uppfattning. Du behöver också ha samtycke till behandlingen eller att behandlingen omfattas av något av undantagen som tillåter behandling av uppgifterna.
Tillgång
● Dina kunder med flera har rätt att få reda på vilka uppgifter ditt företag har registrerade om dem. De kan också i vissa fall begära att du för över uppgifterna till annat företag (dataportabilitet).
Rader uppgifter
● Kunden har efter önskemål i vissa fall fått ”rätten att glömmas bort”. Detta gäller till exempel när uppgifterna inte längre behövs för det ändamål som de samlades in för eller efter ett återkallat samtycke där det inte finns annan rättslig grund för behandlingen.
Marknadsföring
● Kunden har rätt att välja bort direktmarknadsföring.
Dataöverföring utanför EU
● Gör juridiska arrangemang när du överför data till länder som inte har godkänts av EU-kommissionen.
Dataskyddsombud
● Detta är inte obligatoriskt, det beror bland annat på hur mycket uppgifter du samlar in och typen av uppgifter. Mer om detta finns på Datainspektionens hemsida.