Hallands Nyheter

Nya regler som ställer högre krav

Samma regler för hela EU och strängare krav på hanteringe­n av personuppg­ifter hos företag och organisati­oner. Så kan man kort sammanfatt­a den nya dataskydds­förordning­en.

- MARTIN ÖRTEGREN martin.ortegren@hn.se 010-471 50 10

Förordning­en börjar gälla den 25 maj i år och ersätter då personuppg­iftslagen (PUL). Den går under namnet GDPR som är en förkortnin­g av General Data Protection Regulation och innehåller regler om hur man ska behandla personuppg­ifter.

Vi tog en pratstund med Agneta Runmarker, dataråd på Datainspek­tionen för att räta ut frågetecke­n och få förklaring­ar på vad detta verkligen innebär. Vilka är de största nyheterna?

– Den stora nyheten är att dataskydds­förordning­en gäller inom hela EU. Det är för att göra det enklare för företagarn­a. Det andra är att man stärker de registrera­des rättighete­r vilket leder till strängare krav för dem som behandlar uppgifter. En av anledninga­rna till att det uppmärksam­mats så mycket är att det är förknippat med stora sanktionsa­vgifter om man inte följer regelverke­t, säger Agneta Runmarker.

SANKTIONSA­VGIFTERNA är en form av böter och kan uppgå till 20 miljoner euro eller fyra procent av företagets globala årsomsättn­ing. Datarådet menar att kärnan med de grundlägga­nde dataskydds­reglerna är densamma som tidigare men att GDPR ställer tydligare och större krav på den som behandlar personuppg­ifter.

– Man behöver ställa sig frågan vad som är ändamålet med behandling­en och vilka uppgifter som behövs för ändamålet. Det är inte tillåtet med ”bra att ha”uppgifter. Företaget behöver ha en laglig grund för behandling­en – till exempel avtal, samtycke eller intresseav­vägning – och ska även informera den registrera­de. Dokumenter­a gärna det ni gör och var transparen­t.

För att följa GDPR behöver man ha ordning och reda på personuppg­ifterna.

– Det räcker inte att göra rätt utan man ska också kunna visa att man gör rätt. Dokumenter­a och skapa policys och riktlinjer för hur personuppg­ifter ska behandlas på företaget.

SÄKERHET ÄR EN av de viktigare aspekterna i frågan. Det är ett företags skyldighet att anmäla om man tappar bort personuppg­ifter.

– Man ska skydda uppgiftern­a från att obehöriga får åtkomst till dem. Det handlar om både ren It-säkerhet och organisato­risk säkerhet. Alla på företaget ska inte komma åt all informatio­n, bara det de behöver för att utföra sina arbetsuppg­ifter.

– Företag och organisati­oner bör se över vilken informatio­n de hanterar och kontroller­a att de uppfyller de nya kraven i GDPR. Informatio­nen är mer omfattande. Om företaget hanterar känsliga personuppg­ifter eller sysslar med kundprofil­ering finns ännu fler regler att ta hänsyn till.

Organisati­oners anseende är också en del i det hela.

– Även för att upprätthål­la förtroende­t för företaget och för att kunderna ska vilja lämna ifrån sig uppgifter om sig själva är det viktigt att ta hänsyn till dataskydds­reglerna.

DATAINSPEK­TIONEN SÄGER ATT man inte ska ”spara uppgiftern­a längre än nödvändigt”.

– Det finns uppgifter som man kanske inte behöver ha jättelänge. Man brukar säga att ett år är det vanliga att spara uppgifter om en kund. Sen kan det finnas anledning att spara vissa uppgifter för bokförings­ändamål och garantiåta­gande. Hur kommer den nya förordning­en påverka privatpers­oner?

– Rättighete­rna blir starkare. Man har rätt att få felaktiga uppgifter rättade och fler kommer säkert bli mer intressera­de av vilka uppgifter företag har om dem och begära ut registerut­drag, säger Agneta Runmarker.

?? Bild: MAGNUS HJALMARSON NEIDEMAN/SVD/TT/ARKIV ?? HAR KOLL. Det är många frågor och funderinga­r inför den nya lagen. Datainspek­tionen arbetar för att säkra den enskilda individens rätt till integritet i samhället.
Bild: MAGNUS HJALMARSON NEIDEMAN/SVD/TT/ARKIV HAR KOLL. Det är många frågor och funderinga­r inför den nya lagen. Datainspek­tionen arbetar för att säkra den enskilda individens rätt till integritet i samhället.
?? ??

Newspapers in Swedish

Newspapers from Sweden