Skip to content

På denna webbplats använder vi cookies. Om du fortsätter använda webbplatsen innebär det att du accepterar att cookies används i enlighet med vår integritets- och cookiepolicy.

Kom igång med GDPR – steg för steg enligt affärsjuristen

Nu börjar det dra ihop sig inför GDPR, eller DSF (Dataskyddsförordningen) som den även benämns på svenska. Den 25 maj börjar den gälla och om du inte satt igång er anpassning redan är det nu hög tid. Tor Bergkvist som är affärsjurist på Advokatfirman VICI berättar vad du ska göra för att komma igång nu direkt.

I stort sett alla före­tag och orga­ni­sa­tio­ner i Sverige han­te­rar per­son­upp­gif­ter på ett eller annat sätt, vil­ket hit­tills regle­rats i per­son­upp­giftsla­gen (PUL). Från den 25 maj i år gäl­ler den nya Dataskyddsförordningen (GDPR) i alla EU:s med­lems­län­der, och ersät­ter PUL i Sverige.

− Målet är att för­bätt­ra data­skyd­det för van­li­ga, fysis­ka per­so­ner och ge dem utö­ka­de rät­tig­he­ter. Till viss del är Dataskyddsförordningen (GDPR) en påbygg­nad på de direk­tiv som låg bakom PUL, men det som sär­skilt står ut i den nya lagen är ett myc­ket skar­pa­re fokus på IT-säker­het samt stör­re möj­lig­het till påfölj­der, säger Tor Bergkvist.

GDPR-praxis kommer att växa fram

Många av Dataskyddsförordningens begrepp och prin­ci­per känns igen från PUL. Företag och orga­ni­sa­tio­ner som redan idag har väl genom­ar­be­ta­de ruti­ner för att säker­stäl­la att per­son­upp­giftsla­gen följs, kom­mer att ha en bra grund att stå på. Men den nya EU-för­ord­ning­en inne­hål­ler även sto­ra för­änd­ring­ar och vis­sa helt nya bestäm­mel­ser, så det är vik­tigt att sät­ta sig in i vad som behö­ver göras i just er verk­sam­het. Här tar vi upp någ­ra cen­tra­la punk­ter som kan vara bra att ha koll på.

− Hur till­sy­nen av GDPR kom­mer att fun­ge­ra i prak­ti­ken och hur vis­sa krav i för­ord­ning­en ska tilläm­pas mer pre­cist får tiden utvi­sa. Vi kom­mer att få se någon form av prax­is växa fram. I nulä­get bör man dock säker­stäl­la att man föl­jer hela för­ord­ning­en fullt ut från bör­jan, för att vara på den säk­ra sidan.

− Det man ris­ke­rar är annars fram­för allt att få ett före­läg­gan­de om vad som mås­te rät­tas till och/​eller höga sank­tions­av­gif­ter. Det finns ett antal bedöm­nings­kri­te­ri­er som avgör hur all­var­lig över­trä­del­sen är och sank­tions­av­gif­tens stor­lek beror på all­var­lig­hets­gra­den, men kan max­i­malt upp­gå till fyra pro­cent av före­ta­gets glo­ba­la omsätt­ning alter­na­tivt 20 mil­jo­ner euro.

Avtal, samtycke eller intresseavvägning vid GDPR

Ett före­tag hit­tar ofta nöd­vän­digt stöd för sin behand­ling av per­son­upp­gif­ter i en av tre grun­der – att det finns ett avtal som krä­ver viss per­son­upp­gifts­han­te­ring för att kun­na genom­fö­ras, att det finns ett sam­tyc­ke från per­so­nen eller genom intres­se­av­väg­ning, där par­ter­nas intres­sen ställs mot varand­ra. En för­änd­ring i GDPR jäm­fört med PUL är en sträng­a­re syn på sam­tyc­ke.

− Utgångsläget är att man inte ska behand­la per­son­upp­gif­ter som man inte har aktivt stöd för. Man kan säga att det som tidi­ga­re var ”good practice” för sam­tyc­ke nu blir ett krav och stan­dard­ni­vå när GDPR trä­der i kraft. Vid sam­tyc­ke mås­te man exem­pel­vis som före­tag kun­na bevi­sa att per­so­nen gett det­ta som en ”otve­ty­dig vil­jeytt­ring” och att per­so­nen fått rätt infor­ma­tion före sitt beslut. Generellt är det myc­ket hög­re krav på doku­men­ta­tion av att man föl­jer GDPR, än vad som tidi­ga­re gäll­de för PUL. Det är före­tags­le­da­rens huvud­värk att visa att allt går rätt till.

En annan nyhet är att om man exem­pel­vis han­te­rar sär­skilt käns­lig infor­ma­tion, exem­pel­vis pati­ent­jour­na­ler eller kund­upp­gif­ter inom bank och för­säk­ring, kan man vara skyl­dig att utse ett data­skydds­om­bud. Man tar ock­så bort miss­bruks­re­geln, som inne­bar att man enligt PUL kun­de använ­da enkla­re reg­ler för per­son­upp­gif­ter i ostruk­tu­re­rat mate­ri­al, till exem­pel infor­ma­tion om per­so­ner i e‑post, på inter­net eller i en enkel lis­ta i datorn. När miss­bruks­re­geln för­svin­ner gäl­ler då sam­ma reg­ler som för övri­ga per­son­upp­gif­ter, vil­ket inne­bär krav på bland annat rätts­lig grund, att infor­me­ra de regi­stre­ra­de och föra regis­ter över behand­ling­ar.

Kontrollärenden kan uppstå på olika sätt

Ansvar för till­sy­nen kom­mer att lig­ga hos Datainspektionen. Ett kon­trol­lä­ren­de kan star­tas på huvud­sak­li­gen tre oli­ka sätt – om Datainspektionen vid sina kon­trol­ler upp­täc­ker bris­ter hos ett före­tag, om före­ta­get anmä­ler sig självt eller om en pri­vat­per­son anmä­ler ett före­tag.

− Det kan exem­pel­vis hand­la om pri­vat­per­so­ner som fått ta emot utskick de inte gett sitt sam­tyc­ke till och som de upp­le­ver som integri­tets­krän­kan­de eller en före det­ta med­ar­be­ta­re som vill påta­la miss­för­hål­lan­den. Som före­tag vet man ald­rig vil­ka vägar en anmä­lan kan ta, så det är vik­tigt att ha huset i ord­ning vid even­tu­ell kon­troll.

Större medvetenhet kring integritetsskydd

Att GDPR kom­mer att infö­ras har varit känt i näs­tan två år. Olika sce­na­ri­er har målats upp, och infor­ma­tions­un­der­skot­tet är fort­fa­ran­de stort. Många und­rar om allt kom­mer att bli annorlun­da nu?

− Ja, lite grann åtminsto­ne. Om det blir som lag­stif­tar­na tänkt så kom­mer det att leda till en ökad med­ve­ten­het hos före­tag kring integri­tets­skydd, vil­ket vi som pri­vat­per­so­ner kom­mer att vara gla­da för i fram­ti­den, men det drab­bar före­ta­gen gans­ka hårt inled­nings­vis. Man vill föra till­ba­ka mak­ten över per­son­upp­gif­ter­na till den enskil­de, som en grund­läg­gan­de del av ens rät­tig­he­ter, säger Tor Bergkvist.

Så här kommer du smidigast igång med GDPR-arbetet direkt:

  1. Sätt dig ner med före­ta­gets led­nings­grupp och gå ige­nom vil­ka per­son­upp­gif­ter ni har och hur ni behand­lar dem i er verk­sam­het. Börja med att fun­de­ra på vil­ka grup­per ni har per­son­upp­gif­ter om och vil­ka upp­gif­ter ni har för var­je grupp – det kan vara leve­ran­tö­rer, kun­der, med­ar­be­ta­re, mark­nads­fö­rings­mot­ta­ga­re eller and­ra. Fundera sedan sär­skilt på:
  • Varifrån per­son­upp­gif­ter­na kom­mer
  • Hur ni använ­der dem
  • Vilka upp­gif­ter ni egent­li­gen behö­ver för verk­sam­he­ten och vil­ka som är över­flö­di­ga
  • Om ni läm­nar upp­gif­ter­na vida­re
  • När ni gall­rar dem i nulä­get och hur länge ni egent­li­gen behö­ver spa­ra dem
  1. Läs på ordent­ligt om Dataskyddsförordningen (GDPR). Tydlig och fyl­lig infor­ma­tion finns på Datainspektionens hem­si­da och hos den eng­els­ka mot­sva­rig­he­ten ICO.
  2. Upprätta en plan för GDPR-arbe­tet från idag och fram till och med maj månad, samt löpan­de upp­följ­ning efter det. Vad kan ni kla­ra av själ­va? Hur myc­ket har ni tid att göra själ­va? Måste eller vill ni anli­ta juris­ter eller IT-säker­hets­fö­re­tag i någon del? Tänk på att köti­den för att få hjälp kan öka ju närm­re den 25 maj vi kom­mer.

 

 

Midroc Business Center är personuppgiftsansvarig för behandlingen av dina personuppgifter. Dina uppgifter kommer att behandlas enligt vår integritets- och cookiepolicy.

ut vel, venenatis risus. mattis Sed Curabitur eleifend eget et, tristique

Pin It on Pinterest