Så påverkas företagen av PUL:s ersättare

– Maj 2018 kan fortfarande kännas avlägset, men kraven på företagen är stora och ett omfattande förberedande arbete kommer att krävas för den nya förordningens implementering. Det kan till och med krävas ombyggnad av IT-system. Dataskyddsförordningen är maffig, men den är hanterbar om man har en plan för hur man ska ta sig an de nya kraven, säger Carolina Brånby.

Alla 28 medlemsstater i EU har kommit överens om den nya förordningen som ersätter det tidigare direktivet som funnits sedan 1995. Skillnaden mellan de legala instrumenten är att ett EU-direktiv ger medlemsstaterna möjlighet att själva tolka och omsätta det i sina lagar. En EU-förordning gäller oförändrad i samtliga länder och ska därmed implementeras i den nationella lagstiftningen. Det finns dock vissa av de 99 artiklarna som får ändras på nationell nivå, och denna komplettering är vad som i Sverige föreslås bli dataskyddslagen. Dataskyddsförordningen ska användas vid behandling av personuppgifter för att skydda personuppgifter och identitet. Skyddet är dock inte absolut utan ska viktas mot företagens rättigheter och behov.

– Allt handlar om i vilket sammanhang man hanterar personuppgifter, säger Carolina. Det som behövs för att en verksamhet ska kunna fungera brukar gå att lösa, men det kan kräva att man måste tänka till lite extra för att följa regelverket.

Personuppgifter är allt som kan identifiera en enskild person. Det är allt från namn och adress till fingeravtryck och IP-adresser. Företag har stora behov av att lagra olika typer av information kring leverantörer, kunder och medarbetare

– Tänk alltid en extra gång, måste jag verkligen spara det här? säger Carolina. Det kallas uppgiftsminimering och handlar om att endast behandla de nödvändiga och ändamålsenliga personuppgifterna.

Så fort uppgifter läggs in i någon typ av system och görs sökbart, antingen i datorn eller pärmar i bokhyllan, så har de behandlats. Däremot kan de förvaras helt ostrukturerat eller privat och är då undantagna från dataskyddsförordningen.

Många frågor under seminariet handlade om hantering av kundregister, register för systematiserade mailutskick och lönesystem. Carolina rådgav.

– Det är viktigt att sammanställa och dokumentera hur man har resonerat inför beslut om behandling och så särskilt i de fall där förordningen är svårtolkad relaterat till en specifik situation. Dra er inte för att vända er till datainspektionen eller för att söka juridisk experthjälp, framhöll Carolina.

En stor förändring i dataskyddsförordningen jämfört med PUL är hur man hanterar samtyckte. Samtycke är den svagaste grunden till att hantera personuppgifter, och den nya förordningen betonar att ett samtycke ska vara lika lätt att ta tillbaka som att ge. Det kommer även krävas samtycke för varje syfte uppgifterna ska användas för, och ett samtycke får inte göras tvingande.

– Generellt sett är jag förvånad över hur mycket företag använder sig av Facebook, säger Carolina. Genom att lägga sitt material på en annan plattform än sin egen så tappar man kontroll över information och uppgifter som man är personuppgiftsansvarig för.

Ett tips för företag med egna hemsidor är att skaffa ett utgivningsbevis för dem, vilket innebär att hemsidan inte längre faller under dataskyddsförordningen utan istället omfattas av yttrandefrihetsgrundlagen.

– Då är det i princip fritt att publicera personuppgifter som till exempel gruppbilder från ett evenemang man anordnat utan att be varje enskild person om tillåtelse, säger Carolina. Dessutom slipper man riskera de höga sanktioneringsavgifter som följer med dataskyddsförordningen.

Det viktigaste nu menar Carolina är att kartlägga de personuppgifter som företaget hanterar, utbilda medarbetare och se till att det finns glasklara instruktioner för vad som gäller vid hantering av personuppgifter.

– Skaffa er rutiner! Se till att ni och alla era anställda vet varför ni tar in personuppgifter och hur länge de ska sparas, uppmanar Carolina. Håll era register uppdaterade och rensa ut det som inte längre är aktuellt, begränsa vad ni samlar in och var helt öppna med vad ert ändamål är med uppgifterna. Det är en bra början för att klara övergången till nya regler.

Riktlinjer och mer information kommer vilket kan följas på www.datainspektionen.se/dataskydd