Nya regler som ställer högre krav
Samma regler för hela EU och strängare krav på hanteringen av personuppgifter hos företag och organisationer. Så kan man kort sammanfatta den nya dataskyddsförordningen.
Förordningen börjar gälla den 25 maj i år och ersätter då personuppgiftslagen (PUL). Den går under namnet GDPR som är en förkortning av General Data Protection Regulation och innehåller regler om hur man ska behandla personuppgifter.
Vi tog en pratstund med Agneta Runmarker, dataråd på Datainspektionen för att räta ut frågetecken och få förklaringar på vad detta verkligen innebär. Vilka är de största nyheterna?
– Den stora nyheten är att dataskyddsförordningen gäller inom hela EU. Det är för att göra det enklare för företagarna. Det andra är att man stärker de registrerades rättigheter vilket leder till strängare krav för dem som behandlar uppgifter. En av anledningarna till att det uppmärksammats så mycket är att det är förknippat med stora sanktionsavgifter om man inte följer regelverket, säger Agneta Runmarker.
SANKTIONSAVGIFTERNA är en form av böter och kan uppgå till 20 miljoner euro eller fyra procent av företagets globala årsomsättning. Datarådet menar att kärnan med de grundläggande dataskyddsreglerna är densamma som tidigare men att GDPR ställer tydligare och större krav på den som behandlar personuppgifter.
– Man behöver ställa sig frågan vad som är ändamålet med behandlingen och vilka uppgifter som behövs för ändamålet. Det är inte tillåtet med ”bra att ha”uppgifter. Företaget behöver ha en laglig grund för behandlingen – till exempel avtal, samtycke eller intresseavvägning – och ska även informera den registrerade. Dokumentera gärna det ni gör och var transparent.
För att följa GDPR behöver man ha ordning och reda på personuppgifterna.
– Det räcker inte att göra rätt utan man ska också kunna visa att man gör rätt. Dokumentera och skapa policys och riktlinjer för hur personuppgifter ska behandlas på företaget.
SÄKERHET ÄR EN av de viktigare aspekterna i frågan. Det är ett företags skyldighet att anmäla om man tappar bort personuppgifter.
– Man ska skydda uppgifterna från att obehöriga får åtkomst till dem. Det handlar om både ren It-säkerhet och organisatorisk säkerhet. Alla på företaget ska inte komma åt all information, bara det de behöver för att utföra sina arbetsuppgifter.
– Företag och organisationer bör se över vilken information de hanterar och kontrollera att de uppfyller de nya kraven i GDPR. Informationen är mer omfattande. Om företaget hanterar känsliga personuppgifter eller sysslar med kundprofilering finns ännu fler regler att ta hänsyn till.
Organisationers anseende är också en del i det hela.
– Även för att upprätthålla förtroendet för företaget och för att kunderna ska vilja lämna ifrån sig uppgifter om sig själva är det viktigt att ta hänsyn till dataskyddsreglerna.
DATAINSPEKTIONEN SÄGER ATT man inte ska ”spara uppgifterna längre än nödvändigt”.
– Det finns uppgifter som man kanske inte behöver ha jättelänge. Man brukar säga att ett år är det vanliga att spara uppgifter om en kund. Sen kan det finnas anledning att spara vissa uppgifter för bokföringsändamål och garantiåtagande. Hur kommer den nya förordningen påverka privatpersoner?
– Rättigheterna blir starkare. Man har rätt att få felaktiga uppgifter rättade och fler kommer säkert bli mer intresserade av vilka uppgifter företag har om dem och begära ut registerutdrag, säger Agneta Runmarker.