Skip to content

På denna webbplats använder vi cookies. Om du fortsätter använda webbplatsen innebär det att du accepterar att cookies används i enlighet med vår integritets- och cookiepolicy.

Hantera personuppgifter på rätt sätt enligt nya dataskyddsförordningen

Våren 2018 träder EU:s dataskyddsförordning (GDPR) i kraft i alla medlemsländer inklusive Sverige. Syftet är att stärka medborgarnas integritet och position gentemot företag och organisationer som hanterar personuppgifter. För alla svenska företag innebär detta högre krav när det kommer till samtycke, säkerhet och dokumentation. Med hjälp av advokat Jennie Kastberg sammanfattar vi de viktigaste förändringarna och ger tips på vilka förberedelser som bör göras inför nästa år.

I stort sett alla före­tag och orga­ni­sa­tio­ner han­te­rar per­son­upp­gif­ter på ett eller annat sätt – upp­gif­ter som kan kopp­las direkt eller indi­rekt till en fysisk per­son. Det kan hand­la om ett kund­re­gis­ter, fak­tu­re­rings­in­for­ma­tion, data som regi­stre­ras genom appar och and­ra digi­ta­la tjäns­ter, eller helt enkelt foton på hem­si­dan tag­na på ett ming­el. Personuppgiftslagen (PUL) regle­rar idag han­te­ring­en av des­sa upp­gif­ter, men från och med den 25 maj 2018 trä­der data­skydds­för­ord­ning­en i kraft i Sverige, vil­ket kom­mer att inne­bä­ra en stor omställ­ning för många före­tag.

- Det gäl­ler att ha sitt hus i ord­ning när de nya reg­ler­na bör­jar gäl­la näs­ta år. Förordningen stäl­ler hår­da krav på före­tag som sam­lar in, behand­lar och lag­rar per­son­upp­gif­ter. Datainspektionen kom­mer att age­ra till­syns­myn­dig­het och kan utdö­ma sank­tions­av­gif­ter på upp till 4 % av ett före­tags omsätt­ning vid en för­se­el­se. Jennie Kastberg, advo­kat på Ramberg Advokater i Malmö.

Bestämmelserna gäl­ler både för före­tag som använ­der upp­gif­ter­na i sin verk­sam­het, så kal­la­de per­son­upp­gifts­an­sva­ri­ga, och för under­le­ve­ran­tö­rer som enligt för­ord­ning­en kal­las per­son­upp­gifts­bi­trä­den. Den sena­re kate­go­rin kan inne­fat­ta allt ifrån under­kon­sul­ter till moln­tjäns­ter som han­te­rar per­son­upp­gif­ter på ett eller annat sätt åt sina kun­der. Organisationen CISPE har där­för nyli­gen inlett ett arbe­te för att göra det enkla­re att föl­ja data­skydds­för­ord­ning­en för före­tag som lag­rar per­son­upp­gif­ter genom moln­tjäns­ter.

Samtycke är ett måste

Förordningen stär­ker indi­vi­dens rät­tig­he­ter bland annat genom öka­de möj­lig­he­ter att neka till att ett bolag använ­der ens per­son­upp­gif­ter, begä­ran att få ta del av vil­ka upp­gif­ter som spa­ras och till vil­ket syf­te, samt att kun­na begä­ra att spa­ra­de upp­gif­ter rade­ras och blir ”glöm­da”. Utöver det­ta till­kom­mer en regel kring por­ta­bi­li­tet, det vill säga möj­lig­he­ten att kun­na över­fö­ra upp­gif­ter från ett system till ett annat. Exempelvis ett soci­alt nät­verk eller media på inter­net.

Samtyckesreglerna skärps även betyd­ligt och det mås­te klart fram­gå vil­ka upp­gif­ter som kom­mer lag­ras och var­för, innan det ens är möj­ligt att begä­ra sam­tyc­ke från en kund. Exempelvis är det helt ute­slu­tet med så kal­la­de opt-out-lös­ning­ar, där per­son­upp­gif­ter sam­las in auto­ma­tiskt om en kund eller använ­da­re inte aktivt väl­jer att dela med sig av upp­gif­ter­na.

– Det räc­ker inte att bara pre­sen­te­ra möj­lig­he­ten att läsa ige­nom ett långt avtal innan kun­den klic­kar i att de sam­tyc­ker till insam­ling av upp­gif­ter. Ett före­tag mås­te nu kon­kret kun­na visa att sam­tyc­ke läm­nats från var­je indi­vid. Dessutom kom­mer det även fin­nas ett krav på med­gi­van­de för samt­li­ga spe­ci­fi­ka ända­mål som datat används till. Dataskyddsförordningen för­ut­sät­ter allt­så en helt annan tyd­lig­het och ett mer peda­go­giskt upp­lägg än tidi­ga­re, fort­sät­ter Jennie.

Ökade krav på dokumentation och rutiner

Om Datainspektionen skul­le göra ett besök eller inle­da en utred­ning, mås­te ett före­tag kun­na redo­gö­ra för hur de han­te­rar lag­ring av per­son­upp­gif­ter. Det ska fin­nas en tyd­lig doku­men­ta­tion över vil­ken infor­ma­tion som spa­ras, var den spa­ras, i vil­ket syf­te och vem som har till­gång till den. Skulle en kund höra av sig för att stäl­la frå­gor bör det även fin­nas ruti­ner för vem som sva­rar och på vil­ket sätt kun­den kan ta del av infor­ma­tio­nen. Utöver det­ta är före­ta­get ansva­rigt för att anmä­la even­tu­el­la infor­ma­tionsläc­kage inom 72 tim­mar från upp­täckt.

De nya reg­ler­na inne­bär ock­så att den så kal­la­de miss­bruks­re­geln för­svin­ner. Sverige har idag en undan­tags­re­gel rela­te­rad till PUL vil­ken inne­bär att per­son­upp­gif­ter i ostruk­tu­re­rat mate­ri­al, så som e‑post, enk­la lis­tor i datorn med mera kan han­te­ras mer lätt­vin­digt. Detta undan­tag för­svin­ner med data­skydds­för­ord­ning­en.

– Att miss­bruks­re­geln för­svin­ner gör att den mer all­dag­li­ga och ostruk­tu­re­ra­de han­te­ring­en av per­son­upp­gif­ter blir mer regle­rad. Att exem­pel­vis foto­gra­fe­ra del­ta­ga­re på ett event för att läg­ga upp på Facebook kan kom­ma att krä­va ett doku­men­te­rat sam­tyc­ke från samt­li­ga som är med på bild. Det kan även inne­bä­ra att ruti­ner behö­ver ska­pas för hur per­son­upp­gif­ter delas mel­lan kol­le­gor via e‑post, enligt Jennie Kastberg.

För före­tag och orga­ni­sa­tio­ner som han­te­rar så kal­la­de käns­li­ga upp­gif­ter så som etni­ci­tet, reli­gi­on, sex­u­ell lägg­ning, sjuk­doms­hi­sto­ria eller poli­tisk hem­vist, till­kom­mer reg­ler om kon­se­kvens­be­döm­ning. Huvudregeln är att des­sa upp­gif­ter inte får spa­ras eller behand­las, men om det finns ett tyd­ligt behov och ett sam­tyc­ke, går det att göra undan­tag. Exempelvis för jour­na­ler som används av ett pri­vat vård­fö­re­tag eller infor­ma­tion kring fack­lig till­hö­rig­het vid en arbets­rätts­lig tvist. I des­sa och and­ra fall kan före­ta­get behö­va göra en kon­se­kvens­be­döm­ning kring de följ­der som exem­pel­vis ett läc­kage kan få, och even­tu­ellt även en för­hands­kon­troll från myn­dig­het för att säker­stäl­la att han­te­ring­en är lag­lig.

Börja förberedelserna i tid

När det nya regel­ver­ket trä­der i kraft den 25 maj 2018 är det för sent att bör­ja tän­ka på vil­ka ruti­ner ett före­tag bör ha. Dataskyddsförordningen stäl­ler hög­re krav än PUL och för en del före­tag kom­mer omställ­ning­en krä­va sto­ra insat­ser, oav­sett stor­lek på verk­sam­he­ten. På data­in­spek­tio­nens hem­si­da finns en helt ny sek­tion med infor­ma­tion kring det som före­tag och orga­ni­sa­tio­ner behö­va tän­ka på inför över­gång­en.

– Företag som redan har ruti­ner och till­vä­ga­gångs­sätt kring hur de han­te­rar per­son­upp­gif­ter uti­från PUL har givet­vis ett för­språng, men trots det­ta behö­ver alla före­tag ta en fun­de­ra­re kring hur han­te­ring­en och ruti­ner­na ser ut, avslu­tar Jennie Kastberg.

Med hjälp av Jennie Kastberg har vi ska­pat en check­lis­ta för att ta de förs­ta ste­gen mot att föl­ja den nya  data­skydds­för­ord­ning­en.

1. Kartlägg vil­ken data ni spa­rar idag
Fastställ vil­ka per­son­upp­gif­ter ni spa­rar idag och var­för. Hur moti­ve­rar ni exem­pel­vis att ni spa­rar infor­ma­tion om era kun­der? Försöka att spa­ra så lite som möj­ligt och ta reda på om ni har lag­lig grund för att göra det.

2. Kontrollera säker­he­ten för lag­ring­en
Hur skyd­dar ni infor­ma­tio­nen ni spa­rar? Finns den i mol­net eller har ni en egen ser­ver? Om ni använ­der en moln­tjänst, ta reda på hur säker­he­ten ser ut hos leve­ran­tö­ren. För att vara på den säk­ra sidan bör ni använ­da en leve­ran­tör som age­rar inom EU, eftersom de behö­ver för­hål­la sig till sam­ma regel­verk som ni.

3. Se över hela ked­jan
Även om ni har en säker ser­ver som lever upp till de högs­ta kra­ven kan det fin­nas and­ra säker­hets­a­spek­ter som behö­ver tas hän­syn till. Vilka med­ar­be­ta­re har till­gång till infor­ma­tio­nen? Vilka enhe­ter kan använ­das för att få till­gång till upp­gif­ter­na? En god över­blick ger bätt­re för­ut­sätt­ning­ar för att sät­ta tyd­li­ga ruti­ner.

4. Skapa skrift­li­ga ruti­ner
En vik­tig del i Dataskyddsförordningen är doku­men­ta­tion. Ni behö­ver ha skrift­lig doku­men­ta­tion över de åtgär­der och ruti­ner som ni vid­tar, inte minst som even­tu­el­la bevis vid en utred­ning från Datainspektionen.

5. Anpassa ruti­ner­na efter ER verk­sam­het
Det finns och kom­mer att fin­nas myc­ket infor­ma­tion onli­ne kring data­skydds­för­ord­ning­en och det kan vara fres­tan­de, inte minst för mind­re före­tag, att använ­da fär­dig­skri­ven doku­men­ta­tion eller kopi­e­ra and­ra bolag. Det är dock vik­tigt att göra arbe­tet från grun­den och anpas­sa era ruti­ner till just den egna verk­sam­he­ten för att vara säk­ra på att allt går rätt till.

 

Midroc Business Center är personuppgiftsansvarig för behandlingen av dina personuppgifter. Dina uppgifter kommer att behandlas enligt vår integritets- och cookiepolicy.

ut Praesent consectetur Nullam Lorem venenatis, facilisis dapibus

Pin It on Pinterest