Detta kräver GDPR av dig
Allmänna dataskyddsförordningen, eller GDPR, har trätt i kraft sedan den 25 maj. Den ställer en rad krav på hur man yrkesmässigt behandlar personuppgifter.
Borrsvängen har tagit David Börjesson, vd och juridisk expert på Altea, till hjälp att reda ut begreppen och förtydliga vad som gäller.
GDPR står för General Data Protection Regulation och är en EU-förordning som ersätter PUL (personuppgiftslagen) och ett 50-tal andra registerlagar.
GDPR ställer krav på hur man får samla in och behandla personuppgifter.
– Så fort du har någon annans uppgifter – namn, adress, telefonnummer eller någon annan personuppgift i din dator, telefon, på papper eller på bild – så räknas det som att du behandlar dem, säger David Börjesson.
För att leva upp till GDPR ställs en rad krav, bland annat ska du uppfylla följande grundläggande principer:
- Du får bara samla in och behandla personuppgifter för korrekta ändamål.
- Du får inte ha fler uppgifter om en person än du behöver.
– Du kanske behöver postadress, telefonnummer och e-postadress. Men inte uppgifter om vad personen kör för bil eller vad maken eller makan heter, kommenterar David Börjesson.
- Uppgifterna ska vara korrekta – det är inte tillåtet att lagra inaktuella eller felaktiga personuppgifter.
- Principen om lagringsminimering.
– Det innebär att du inte får spara uppgifter längre än vad som är nödvändigt. Till exempel tidigare kunder, före detta anställa med mera.
Rättslig grund krävs
Vidare måste man ha rättslig grund för all behandling av personuppgifter.
– Det finns olika rättsliga grunder. En sådan grund är samtycke från personen det gäller, eller att man måste ha uppgifterna för att kunna fullgöra ett avtal, till exempel gentemot kunder och anställda. Att behandlingen krävs för att fullgöra lagstiftning är en annan rättslig grund, till exempel att man måste lämna inkomstuppgifter om sina anställda till Skatteverket.
Att göra-lista för företagare
Så vad ska man nu göra som företagare? David Börjesson punktar upp de viktigaste åtgärderna:
- Upprätta ett register över all personuppgiftsbehandling man har.
– Registret ska innehålla uppgifter om ändamål med behandlingen, vilka kategorier av uppgifter man lagrar, vilka de lämnas ut till, vilka tidsramar man har för radering av uppgifter och vilka tekniska och organisatoriska säkerhetsåtgärder man vidtar för att skydda uppgifterna.
- Säkerställa att man följer de grundläggande principerna och har rättslig grund för all personuppgiftsbehandling.
– Här inser de flesta att de måste gallra och framför allt ta bort inaktuella personuppgifter.
- Upprätta avtal med personuppgiftsbiträden.
– Ett biträde är en fysisk eller juridisk person utanför den egna organisationen som behandlar personuppgifter å företagets vägnar. Det kan till exempel vara en extern löneadministratör eller datakonsult.
- Styra upp insamling, lagring och behandling.
– Här måste man till exempel bestämma hur man lagrar och sorterar inkommande mejl och hur mobiltelefoner används. Får de anställda använda företagsmobilerna privat eller använder man privat mobiltelefon i tjänsten? Då innehåller de en blandning av privata uppgifter och sådant som omfattas av GDPR, påpekar David Börjesson.
Rättigheter för registrerade
Även de registrerades rättigheter fastslås i GDPR. Alla som finns i registret har bland annat rätt att:
- Få utdrag på vilka uppgifter som är registrerade.
- Komplettera och uppdatera sina uppgifter.
- Att bli borttagen ur registret.
Det är formulerat så att man har rätt att få sina uppgifter strukna och bli ”bortglömd” av den som hade ens uppgifter.
GDPR ställer krav på säkerheten
Säkerheten kring uppgifterna regleras också. GDPR ställer krav kring inbyggt dataskydd, dataskydd som standard samt säkerhetsåtgärder.
– I registret ska det framgå vilka tekniska och organisatoriska säkerhetsåtgärder man vidtagit. Det kan vara lösenord, kryptering, brandvägg med mera. Det är typen av behandling och vilka risker för den registrerade behandlingen är förenad med, som sätter ribban för säkerhetsåtgärderna.
GDPR har också en särskild artikel om incidenter.
– En incident kan vara om obehöriga får tillgång till personuppgifterna eller om uppgifter felaktigt tas bort. Inträffar det måste det rapporteras till Datainspektionen inom 72 timmar från det att incidenten upptäcks.
Du riskerar dryga böter
Att inte leva upp till GDPR är förenat med böter. Dessa kan uppgå till fyra procent av företagets omsättning eller max 20 miljoner euro.
– På det kommer eventuella skadestånd till drabbade. Här finns inga summor fastslagna, men enligt rättsfall från PUL-lagstiftningen handlade det om mellan 10 000 och 35 000 kronor per registrering, varnar Börjesson.
Dokumentationen för hur man lever upp till GDPR ska inte skickas in till någon eller redovisas, men ska kunna visas upp på anmodan.
Ta hjälp av en konsult
– Tyvärr finns inga mallar eller exempel från svenska myndigheter. Danmark, Nederländerna, Tyskland och Storbritannien har tagit fram bra vägledningar som man kan titta på om man vill.
– Men det bästa är att ta hjälp, avslutar David Börjesson. Vänd dig till en konsult som har mallar och verktyg. Vi på Altea har mellan 40 och 45 mallar och exempel. Brunnsborrningsföretag med avtal med oss får tillgång till den hjälpen.
Text: Jörgen Olsson
Illustrationer: Myra S Söderström