GDPR: detta gäller för små och medelstora företag

2 mars 2018
EU:s nya dataskyddsförordning ställer högre krav på hur alla företag och organisationer behandlar personuppgifter.
Den 25 maj träder EU:s nya och omtalade lagstiftning i kraft. Alla företag och organisationer som lagrar personuppgifter kommer att påverkas, men frågan är hur? Vi vände oss till informationsspecialisten Hans Kalldal för att få svaren.

Varför ersätts PUL av GDPR? Vad är bakgrunden till förändringen?
– PUL kom för cirka 20 år sedan och har idag två problem: teknikutvecklingen har sprungit ifrån lagen och det är för stora skillnader mellan hur olika EU-länder har implementerat motsvarande lagar. EU behöver en modernare lag för skydd av personuppgifter anpassad till dagens, och gärna morgondagens teknik. Man vill dessutom ta ett steg närmare harmonisering mellan olika EU-länder.

​​​​Hans Kalldal är informationsspecialist med lång yrkeserfarenhet inom IT-sektorn. Han fokuserar i sitt arbete som konsult på informationsstyrning och dataskydd och har bland annat arbetat med den strategiska planen för informationsstyrning inom hela Försvarsmakten. Dessutom ser han behovet av att öka verksamhetsnyttan av data och information hos organisationer och mindre företag samtidigt som man förhåller sig till de ständigt ökande kraven för hanteringen av personuppgifter.

Vad är egentligen en personuppgift?
– Det är en bra fråga och ibland lite bredare definition än vad vi tror. Om jag till exempel pratar om veterinären i Knäckebröhult och det bara finns en veterinär där så är det en personuppgift. Om jag har ett beställningsnummer på en adressetikett och kan ta numret till en dator för att koppla ihop det med ett kundnummer för att sedan gå till en annan dator och få fram namnet så är både beställningsnumret och kundnumret personuppgifter. Tänk så här: om det finns en mekanism som du eller någon annan kan använda för att ta en uppgift och härleda det till en person så är det sannolikt en personuppgift även om det är långsökt att någon faktiskt skulle göra det.

Underkategori
Tips kring GDPR, EU:s dataskyddsförordning som träder i kraft 25 maj 2018 EU-flaggor vajar mot bakgrund av byggnad
EU:s nya dataskyddsförordning ställer högre krav på hur alla företag och organisationer behandlar personuppgifter.

Vad blir skillnaden för mig som medborgare? Höjs skyddet för min integritet?
– Jag kan redan se en viss skillnad. Många företag jobbar jättemycket med GDPR vilket innebär att det blir mer ordning och reda på personuppgifter hos företag och organisationer som vet saker om dig. Ett par konkreta skillnader för oss som medborgare är att vi kommer att få större möjligheter att få ut våra personuppgifter i digital form för att kunna flytta till andra. Syftet med detta är att det ska bli enklare att byta leverantör av sociala media, försäkringsbolag eller liknande. En annan skillnad är bättre möjligheter att begära individuellt skadestånd om dina personuppgifter behandlats felaktigt och du lidit skada. Detta är tänkt att sätta mer press på företag och organisationer att bry sig mer om GDPR än vad man gjorde med PUL.

Vad innebär då den nya lagstiftningen för mig som småföretagare? Jo, att jag måste förbereda sig på att ha bättre ordning och reda på var man har sina personuppgifter och känna till hur de används. Ett litet företag som säljer produkter och tjänster där själva personuppgifterna inte är varan utgör normalt inte någon stor risk för människors personliga integritet. Om du däremot driver ett företag där personuppgiftshantering är kärnverksamheten så ska du anlita ett proffs på dataskydd. Det är en typ av företag som lagen särskilt riktar in sig på eftersom det bland annat är där teknikutvecklingen gått mycket fort de senaste åren.

Så, vad måste jag som företagare göra innan den 25 maj?
– Det första du ska göra är att läsa Datainspektionens GDPR-tips på verksamt.se, de uppdaterades i mitten av februari. Se sedan till att göra en lista över vilka samlingar av personuppgifter du har, exempelvis personalregister och kundregister. Beskriv vad uppgifterna i dina samlingar innehåller (exempelvis namn, gatuadress, postnummer, postort). Sedan läser du texten om principer på verksamt.se. Principerna säger i korthet följande: du får bara behandla uppgifter för lagliga och uttryckliga ändamål, du får bara ha så många uppgifter som är nödvändiga för ändamålet, du får bara spara dem så länge de är nödvändiga, de ska vara korrekta och du ska ha en godtagbar säkerhet för uppgifterna. Skriv in det här för varje samling i excelarket och se till att det du skrivit fungerar i din verksamhet. När du har gjort din lista så gör du spegeltesten, fråga dig själv vilka av uppgifterna i ditt företag som skulle bekymra dig om de behandlade dig, dina barn eller dina gamla föräldrar.

Den största utmaningen för de flesta kommer att vara att börja rensa gamla personuppgifter som vare sig behövs i verksamheten eller ens är tillåtna att ha kvar.

Hans Kalldal, GDPR-expert

Vilken information måste mitt företag lämna ut till en person?
– Du måste vara beredd att lämna ut själva personuppgifterna och en rad andra saker, bland annat vad du tänker göra med personuppgifterna, vilka mer än ditt företag som du skickar uppgifterna till och hur länge du tänker spara uppgifterna.

Måste jag tänka annorlunda när det gäller utformningen av fillagringssystem, hemsida och kundregister?
– Egentligen borde ingen behöva tänka annorlunda eftersom det jag tycker är det allra viktigaste i lagen, nämligen principerna som jag beskrev ovan har funnits sedan den svenska datalagen 1973, tro det eller ej. Men eftersom många inte brytt sig så är det dags att göra det. Den största utmaningen för de flesta kommer att vara att börja rensa gamla personuppgifter som vare sig behövs i verksamheten eller ens är tillåtna att ha kvar. Lagen handlar om att skydda människor så med en etiskt försvarbar människosyn och lite gammaldags ordning och reda i hanteringen så kan du säkert sova gott om natten.

Måste jag fråga alla på min utskickslista om jag får fortsätta skicka nyhetsbrev till dem?
– När det gäller utskick så är det fler lagar än dataskyddsförordningen som råder. Jag rekommenderar alltid alla som ställer frågan att titta på SWEDMA, en branschorganisation som företräder direktmarknadsföringsbranschen. De har ett antal etiska regler och branschöverenskommelser. Där finns olika regelverk och rekommendationer för olika media och målgrupper, läs dem.

Hur ser du på uppmärksamheten kring de avgifter GDPR kan innebära, med skadestånd upp till 20 miljoner euro?
– Det jag främst har emot det är att man försöker göra hotet om en kostnad till en drivkraft att följa lagen. Det handlar om oss människor i slutändan, det här är den praktiska lagstiftningen runt en av våra grundläggande mänskliga rättigheter i Europa. Sanktionsavgifterna är högt satta så att man ska kunna bötfälla företag som grovt missbrukar personuppgifter eller uppsåtligen struntar i lagen och alla tecken tyder på att man kommer att använda sanktionsmöjligheterna till just det. Många företag som fått tillsyn av Datainspektionen är faktiskt nöjda efter besöket – tänk att få hjälp av Sveriges främsta dataskyddsproffs att styra personuppgiftshanteringen rätt.

Snabbfakta
– 25:e maj 2018 träder EU:s nya personuppgiftslag GDPR i kraft.
– Namnet GDPR står för The General Data Protection Regulation.
– GDPR ersätter tidigare personuppgiftslagen PUL och ställer högre krav på hur alla företag och organisationer behandlar personuppgifter.
– Enligt GDPR-direktivet är personuppgifter all information som är kopplad till en person exempelvis namn, foto, e-post, bankuppgifter, inlägg på sociala medier, platsinformation, medicinsk information och datorns IP-adress.

Lästips
Verksamt.se
Swedma.se – Regelverk och rekommendationer

Tipsa en vän