GDPR- Nya riktlinjer och ansvar för företag

Det har nog inte undgått någon företagare att nya dataskyddsförordningen med nya riktlinjer och ansvar för företag träder i kraft nu i maj? Sveriges föregångare i Personuppgiftslagen (PuL) har styrt hur och vem som får hantera personuppgifter i drygt 20 år men ersätts nu: Från och med 25 maj  träder den nya allmänna dataskyddsförordningen, eller GDPR – General Data Protection Regulation i kraft. Det är kort beskrivet ett nytt regelverk som bland annat styr hur exempelvis företag skyddar och behandlar personuppgifter som kan knytas till en fysisk person. GDPR gör ingen skillnad mellan att hantera data om kunder och data om anställda vilket gör att i princip alla myndigheter, företag –  stora som små – och även organisationer kommer att beröras av de nya reglerna. Detta kan innebära en del förändringar.

Riktigt kort om Dataskyddsförordningen
Dataskyddsförordningen innebär bl.a. nya, strängare krav på företag att informera om att, hur och varför man samlar in, lagrar och behandlar personuppgifter. Behandlingen måste ske i samtycke, d.v.s. man måste ha fått ett godkännande från den fysiska personen, och uppgifterna får inte användas för något annat, än vad man har fått samtycke för. Informationen får heller inte lagras längre än nödvändigt.

Det är företaget som personuppgiftsansvarig som ska visa att principerna följs.

Om uppgifterna förs vidare eller används på annat sätt än de var tänkt för, måste företaget tala om det. Rutiner för hur information plockas bort, data flyttas och hur man ska anmäla dataskyddsincidenter måste finnas på plats. Personuppgifterna som hanteras måste skyddas så att de inte kan stjälas eller oavsiktligt ändras eller raderas. Om det händer något som riskerar att personuppgifterna hamnar i fel händer måste det rapporteras till Datainspektionen. Även de vars uppgifter läckt ut måste informeras inom 72 timmar.

Syftet med den nya dataskyddsförordningen
Syftet med den nya dataskyddsförordningen är att skydda den personliga integriteten (dvs stärka skyddet för fysiska personer) vid behandling av personuppgifter. En personuppgift är all slags information som kan identifiera en fysisk person, t.ex. personnummer, namn, adress, kontaktuppgifter liksom bilder, ljudupptagningar eller videoinspelningar.

Det nya regelverket innebär en harmonisering mellan EU:s medlemsländer och ger medborgarna i EU och EES större kontroll över sina personuppgifter. Det säkrar att informationen skyddas i hela Europa och att samma regler gäller oavsett vilket land man befinner sig i.

Kännbara sanktionsavgifter – Risk för dryga böter
Företag som bryter mot reglerna riskerar dryga avgifter. Datainspektionen kan utfärda böter på upp till fyra procent av organisationens årliga omsättning, alternativ 20 miljoner euro som maxbelopp till företag som inte sköter sig.

Det är mycket som skall vara på plats innan den 25 maj. Alla företag (och andra organisationer) måste även ha ett register som beskriver sätten som man hanterar personuppgifter på: Vem internt är ansvarig, vad används registret till, vilka finns med och vilken typ av personuppgifter hanteras? Du kan läsa mer om de nya kraven och företagets ansvar på Datainspektionens hemsida