Maffig ersättare till PUL

– Dataskyddsförordningen är maffig, det går inte att sticka under stol med, säger Carolina. Men den går att hantera.

Alla 28 medlemsstater i EU har kommit överens om den nya förordningen som ersätter det tidigare direktivet som funnits sedan 1995. Ett direktiv ger medlemsstaterna möjlighet att själva tolka det i sina lagar, medan en förordning gäller oförändrad i samtliga länder. Det finns dock vissa av de 99 artiklarna som får ändras på nationell nivå, och denna komplettering är vad som i Sverige föreslås bli dataskyddslagen. Dataskyddsförordningen ska användas vid behandling av personuppgifter för att skydda personuppgifter och identitet. Skyddet är dock inte absolut utan ska viktas mot företagens rättigheter och behov.

– Allt handlar om i vilket sammanhang man hanterar personuppgifter, säger Carolina. Det som behövs för att en verksamhet ska kunna fungera brukar gå att lösa, men det kan kräva att man måste tänka till lite extra för att följa regelverket.

Personuppgifter är allt som går att knyta till en person, inklusive nicknames och IP-adresser.

Så fort uppgifter läggs in i någon typ av system och görs sökbart, antingen i datorn eller pärmar i bokhyllan, så har de behandlats. Däremot kan de förvaras helt ostrukturerat eller privat och är då undantagna från dataskyddsförordningen.

– Tänk alltid en extra gång, måste jag verkligen spara det här? säger Carolina. Det kallas uppgiftsminimering och handlar om att endast behandla de nödvändiga och ändamålsenliga personuppgifterna.

En stor förändring i dataskyddsförordningen jämfört med PUL är hur man hanterar samtyckte. Samtycke är den svagaste grunden till att hantera personuppgifter, och den nya förordningen betonar att ett samtycke ska vara lika lätt att ta tillbaka som att ge. Det kommer även krävas samtycke för varje syfte uppgifterna ska användas för, och ett samtycke får inte göras tvingande.

– Generellt sett är jag förvånad över hur mycket företag använder sig av Facebook, säger Carolina. Genom att lägga sitt material på en annan plattform än sin egen så tappar man kontroll över tex säkerhetsåtgärder för uppgifter som man är personuppgiftsansvarig för.

Ett tips för företag med egna hemsidor är att skaffa ett utgivningsbevis för dem, vilket innebär att hemsidan inte längre faller under dataskyddsförordningen utan istället omfattas av yttrandefrihetsgrundlagen.

– Då är det i princip fritt att publicera personuppgifter som till exempel gruppbilder från ett evenemang man anordnat utan att be varje enskild person om tillåtelse, säger Carolina. Dessutom slipper man riskera de höga sanktioneringsavgifter som följer med dataskyddsförordningen.

Det viktigaste nu menar Carolina är att kartlägga de personuppgifter som företaget hanterar, utbilda medarbetare och se till att det finns glasklara instruktioner för vad som gäller vid hantering av personuppgifter.

– Skaffa er rutiner! Se till att ni och alla era anställda vet varför ni tar in personuppgifter och hur länge de ska sparas, uppmanar Carolina. Håll era register uppdaterade och rensa ut det som inte längre är aktuellt, begränsa vad ni samlar in och var helt öppna med vad ert ändamål är med uppgifterna. Det är en bra början för att klara övergången till nya regler utan större problem.

Riktlinjer och mer information kommer, följ därför utvecklingen på www.datainspektionen.se/dataskydd.

Text: Mathilda Linnander