Ny lag påverkar företagen
Den 25 maj nästa år träder EU:s nya dataskyddsförordning (DF) i kraft och den svenska kompletterande dataskyddslagen. Det nya regelverket ersätter den nuvarande Personuppgiftslagen (PUL). Det läggs ner mycken politisk kraft på att få en ordentlig efterlevnad av den nya lagen, vilket bland annat märks i kraftigt höjda sanktionsavgifter.
– De nya reglerna ger Datainspektionen rätt att döma ut sanktionsavgift på upp till 200 miljoner SEK (eller 4 % av den globala omsättningen på koncernnivå).
Det berättade Svenskt Näringslivs digitaliseringsexpert Carolina Brånby för över 90 deltagare i ett seminarium i Växjö om de nya reglerna för behandling av personuppgifter.
– Alla företag bör sätta igång snarast och inventera hur man i dag behandlar personuppgifter, anser Carolina Brånby. Lagen grundar sig på individens rätt till skydd av den personliga integriteten, men den rätten kan också påverkas av annan lagstiftning.
Personuppgifter är allt som direkt, eller indirekt, kan knytas till en levande fysisk person. Detta gör att uppgifter om en enskild firma, men inte ett aktiebolag, är personuppgift i lagens mening. DF anger hur personuppgifter får behandlas. Utanför tillämpningsområde för förordningen faller privat behandling och det som regleras i våra svenska grundlagar.
Tryckfrihetsförordningen ger traditionella nyhetsmedier som radio, TV och tidningar rätt att publicera uppgifter om enskilda personer begränsat av de pressetiska reglerna. Däremot får ett företag inte publicera personuppgifter (ens på sina egna anställda) hur som helst enligt DF. Har webbsidan utgivningsbevis gäller dock yttrandefrihetsgrundlagen.
När det gäller behandling av ”känsliga personuppgifter” utökas skyddet till sexuell läggning, genetiska och biometriska uppgifter.
Begreppet ”behandling” är centralt i DF och Carolina Brånby ger ett exempel:
– Företaget kan läsa och ta del av utdrag från belastningsregistret, när man överväger att anställa en person. Man får läsa det, men sedan inte arkivera utdraget i datorn eller i en pärm för då görs en olovlig behandling av särskilt känsliga personuppgifter.
Man kan inte heller behandla sin mejlkorrespondens hur som helst. De nya reglerna gäller även då. Där finns det nog stora behov av utrensning i datorerna innan den 25 maj!
Principerna för tillåten behandling av personuppgifter är väl definierade med termer som korrekta, ändamålsenliga tidsbegränsade, uppgiftsminimerade och säkerhetsskyddade. Behandlingen måste, för att vara tillåten, grunda sig antingen på den registrerades uttryckliga samtycke, eller på att den kan anses nödvändig för något av ett antal uppräknade ändamål. Det kan handla till exempel om möjligheten till fullgörande av avtal eller rättslig förpliktelse.
– Samtycke kan alltid dras tillbaka och jag rekommenderar därför att man söker grunda sin behandling av personuppgiften på något av de andra rättsliga grunderna för att undvika krångel och problem längre fram, säger Carolina Brånby, digitaliseringsexpert.
En sammanfattning av den nya förordningen finns i skriften ”Företagen och dataskyddsförordningen” som kan laddas ner. Den kompletta lagtexten och mer information finns på www.datainspektionen.se/dataskydd.
Text: Olle Termén
EntreprenörskapSäkerhet
