GDPR - vad gäller vid hantering av personuppgifter?
Under de senaste 20 åren så har PUL, personuppgiftslagen, styrt hur företag hanterat personuppgifter. Den 25 maj 2018 trädde istället GDPR (dvs. general data protection regulation) i kraft och började reglera all behandling av information som kan knytas till en person. För företag, organisationer och myndigheter innebär detta en relativt stor förändring.
Vad är då syftet med de nya reglerna? Man vill få till en harmonisering mellan medlemsstaterna i EU. Det dataskyddsdirektiv som härstammar från 1995 har utgjort en gemensam grund, men varje land har kunnat implementera och tolka detta regelverk på egen hand. Lagen är nu densamma i alla EU-länder.
Vad innebär GDPR för företag?
Lagen har kommit till för att skydda den enskilde medborgarens rättigheter. Det är dock framförallt de som hanterar personuppgifter som kommer att märka av GDPR. Man kan säga att i mångt och mycket så är det nya regelverket en förstärkt och uppdaterad version av PUL. Vissa delar innebär dock att du som är företagare ser över era rutiner för dokumentation och datalagringssystem. Det är av yttersta vikt att ha bra koll på de system som hanterar företagets data och insamlad information. Det är företaget och inte en eventuell IT-leverantör som är ansvarigt. Med all insamlad data kommer en riskbedömning, varför samlar ni in uppgifter och vem kommer att ha tillgång till dem? Den som är ansvarig för personuppgifter måste kunna visa att GDPR följs. Om ditt företag hanterar personuppgifter i stor omfattning så kan du behöva anställa en särskilt personuppgiftsansvarig. Nedan listar vi några av de allra viktigaste komponenterna i regelverket:
● Höga krav ställs på ansvarsskyldighet och dokumentation
● Främjar uppgiftsminimering - man får inte samla mer information än nödvändigt
● Personuppgifter avidentifieras, så kallad pseudonymisering
● Personuppgifter på villovägar ska anmälas till Datainspektionen inom 72 timmar
● Informationen till den som registreras måste vara lättbegriplig
Påföljder om du bryter mot GDPR
PUL kritiserades ofta för att inte leda till tillräckligt kraftfulla konsekvenser för den som bröt mot reglerna. Detta kan man inte säga om GDPR. Ett företag som behandlar personuppgifter på ett regelvidrigt sätt kan bestraffas med en administrativ sanktionsavgift på upp till 20 miljoner euro(!) eller 4% av företagets globala omsättning. Det är viktigt att notera att det undantag från PUL, missbruksregeln, nu helt har slopats. Detta innebär att personuppgifter i enklare listor eller i löpande text inte längre räkans som undantag. Vem är det då som bedömer om reglerna efterlevs? Det är två organ som tolkar om svenska företag, myndigheter och organisationer följer regelverket:
● Datainspektionen i Sverige
● En central dataskyddsstyrelse inom EU
Då GDPR är ett färskt regelverk så kommer det säkerligen att råda viss förvirring i början, det kan ta några år innan det finns en praxis. Klart är dock att alla företag måste se över sina rutiner. Det kan bli mycket kostsamt att slarva och inte efterleva regelverket. Ett av de allra viktigaste första stegen är att se till att leva upp till kraven på dokumentation. Se till att aldrig samla in mer personuppgifter än nödvändigt och spara inte heller dessa uppgifter längre än nödvändigt. Om ditt företag följt PUL så har ni redan en god bas att utgå från, se till att uppdatera dig om vad som gäller hos Datainspektionen om du inte redan gjort det!
Läs om hur vi på Nilex arbetar med GDPR här och kontakta oss gärna om du har några frågor!