Sannolikt att dataskyddsförordningen berör dig

Dataskyddsförordningen kommer att ersätta personuppgiftslagen (PUL), men är mer omfattande och har större konsekvenser om den inte följs.

– Har du koll på din PUL? Det är en av de första frågorna som Carolina Brånby, digitaliseringsexpert på Svenskt Näringsliv ställer till deltagarna vid seminariet i Umeå.

– Om du följer riktlinjerna i PUL vad gäller behandling av personuppgifter så har du en bra grund att stå på. Men fortfarande kan det krävas ombyggnad av dina IT-system och det kan vara en omfattande process, så även om maj nästa år kan kännas långt borta så är det dags att sätta igång arbetet med förändringarna, fortsätter Carolina Brånby.

– Radera personuppgifter som det inte finns anledning att spara på och implementera tydliga rutiner för er behandling och gallring innan förändringarna träder i kraft, råder Carolina Brånby.

Vad är en personuppgift?

Allt som kan identifiera en enskild person är en personuppgift. Det gäller exempelvis namn, adress, personnummer, fingeravtryck och IP-adress. Uppgifter om etnicitet, religion, politisk åskådning, facklig anslutning, hälsa och sexuell läggning är så kallade känsliga personuppgifter.

Företag har behov att lagra olika typer av information, om både kunder och medarbetare. Den nya förordningen ger självklart möjligheter till det. Exempelvis får företag behandla personuppgifter nödvändiga för att följa lagar eller fullfölja avtal. Det finns även möjlighet att lagra uppgifter, men först efter en så kallad intresseavvägning. Där måste företaget påvisa att man har ett berättigat intresse av att lagra en uppgift som väger tyngre än den enskildes behov av integritet.

– Intresseavvägningen innebär att företaget måste ta konkret ta ställning till varje typ av personuppgiftsbehandling, det kan inte göras generellt. Så företaget kan inte säga att ”allt vi lagrar är av intresse för oss”. Därför är det viktigt att dokumentera hur man har resonerat inför beslut om behandling, säger Carolina Brånby.

Högre krav på företag

Den nya dataskyddsförordningen ställer högre krav på samtycke från personen vars uppgifter företaget behandlar, det får inte göras tvingande och ska vara lätta att återkalla. Radering av uppgifter ska ske löpande och företagen har krav på sig att rapportera alla dataincidenter till Dataskyddsinspektionen.

Att vända sig till Datainspektionen är ett annat av Carolina Brånbys tips;

– Datainspektionen kommer att ha en nyckelroll i och med den nya lagstiftningen. De är skyldiga att informera er och har en jättebra hemsida, datainspektionen.se, där ni kan inhämta all information.

En annan stor förändring är att sanktionsavgifterna kan bli enorma. Datainspektionen kan påföra sanktioner på upp till 20 miljoner euro eller fyra procent av ett företags globala årsomsättning på koncernnivå.

Mycket är fortfarande tyvärr oklart. I maj 2017 kommer den svenska dataskyddsutredningen med sitt betänkande och förslag till ett nytt svenskt kompletterande regelverk.

– Men att ta första steget redan idag innebär bara möjligheter, konstaterar Carolina Brånby.

– Och om jag ska ge ett första råd på vägen så är det att ni ska tänka uppgifts- och lagringsminimera!

Mer information om hur företag påverkas av dataskyddsförordningen finns här.