GDPR – En snabb överblick
GDPR - Högre krav införs på företag som samlar in personuppgifter. GDPR började tillämpas i lag samtidigt i hela EU, den 25 maj 2018.
De nya dataskyddsreglerna inom EU - GDPR står för General Data Protection Regulation. GDPR reglerar all form av behandling av information som direkt eller indirekt kan knytas till en person. I Sverige ersätter reglerna PUL (personuppgiftslagen) och innebär både en uppdatering och skärpning av regelverket.
I bestämmelserna får medborgarna mer kontroll över sina uppgifter. De jämnar dessutom ut spelplanen då reglerna gäller för alla företag som är verksamma i EU, oavsett var de finns.
GDPR gäller alla som på något sätt samlar, lagrar, använder eller behandlar personuppgifter. Även om det görs åt andra företag. Reglerna innefattar information, bilder, ljud om/med t.ex. anställda, kunders anställda, leverantörers anställda eller andra personer.
När ditt företag samlar in uppgifter om en person måste ni informera personen i fråga. I förordningen finns en lång lista över vilken information som ska ges, men mycket kort ska ni tala om att ni samlar in personuppgifter, vilka uppgifter det handlar om och varför ni gör det. Kommer ni att lämna uppgifterna vidare till andra, måste ni tala om det.
Var restriktiv, håll koll på vilken information ni har och varför
Företag och andra organisationer har i och med riktlinjerna större krav på att informera hur de hanterar uppgifter, vilka uppgifter de sparar och varför de samlar in dem. Personuppgifter får endast samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål” och får inte senare användas till något annat.
Företag är i vissa fall skyldiga att registrera personuppgifter som kan göras genom avtal. Det går också att göra det via samtycke eller intresseavvägning. Till exempel lönesystem och kundregister regleras genom avtal, men i det senare fallet kräver lagring av vissa uppgifter samtycke. Register med potentiella kunder regleras genom intresseavvägning, vilket innebär att företaget måste kunna visa att intresset av att hantera uppgifterna väger tyngre än den enskildes integritet. Samlar du in personuppgifter på webbplatsen ska det regleras genom samtycke eller intresseavvägning.
Det är viktigt att informera om datan ska lämnas vidare till andra och att ta bort information när den inte längre behövs för syftet de samlades in för.
Tufft för de som brister
För de som inte sköter sig kommer de nya reglerna verkligen att kännas. Ett företag som brister i sin behandling av personuppgifter kan tvingas betala böter på upp till 20 miljoner Euro eller 4 % av företagets globala omsättning. I Sverige görs den bedömningen av Datainspektionen.
Vi har gedigen kunskap om GDPR och hjälper gärna ditt företag.
Tre bra källor
Här har vi samlat tre bra kostnadsfria källor med information som hjälper dig gällande GDPR:
- Grunderna i dataskydd. Datainspektionen förklarar i sin tidning Integritet i fokus på ett enkelt sätt grunderna i dataskydd.
- Datainspektionen har även tagit fram en överskådlig infograf för små- och medelstora företag, med information om den kommande dataskyddsförordningen. Observera att rubriken på sidan 5 "Dataskyddsansvarig" är felaktig. Det ska stå "dataskyddsombud”.
- Bedöm om du och ditt företag är rustade för den nya dataskyddsförordningen GDPR. Vår branschförening Srf konsulterna har gjort ett bra självtest där du kan bedöma och lyfta din kunskap och i förlängningen företagets utgångsläge.
Mycket i de nya reglerna liknar den förra personuppgiftslagen, så genom att utvärdera och rätta till hur du idag hanterar personuppgifter kan du förbereda dig. Men som du ser finns det mer att göra, så vårt tips är att inte vänta för länge med att ta reda på vilka rutiner ditt företag behöver förändra.