Är du redo för GDPR?

Varje gång någon öppnar ett bankkonto, går med i ett socialt nätverk på Internet eller bokar en resa online, delas viktig personlig information. Vilket ansvar har du som företagare för att informationen inte sprids eller missbrukas på annat sätt?

Den 25 maj 2018 ersätter EU:s dataskyddsförordning General Data Protection Regulation (GDPR) den svenska personuppgiftslagen (PUL).

Vad är skillnaden mot tidigare?

Den nya dataskyddsförordningen innehåller vissa nya bestämmelser. Därför bör du som företagare fundera över vilka konsekvenser som förordningen kommer att få. I större organisationer påverkas frågor om personal, budget, styrning och framförallt IT-system. Det innebär även ökade krav på dokumentation. Nytt är också att tillsynsmyndigheten kan döma ut sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av organisationens omsättning om behandlingen av personuppgifter missköts.

Frågor som du bör fundera över redan nu

• Vilka personuppgifter hanterar företaget?

• Hur inhämtar företaget samtycke?

• Finns det ett inbyggt skydd för personuppgifter i IT-systemet?

• Vem är ansvarig för dataskyddsfrågor i företaget?

Vilka personuppgifter hanterar företaget?

Tidigare har du som företagare i stort sett ägt de personuppgifter som samlats in. De nya reglerna innebär i stället att privatpersoner äger sina egna uppgifter och att företag bara lånar dem. Den som är registrerad har rätt att begära ut information om vilka personuppgifter som behandlas.

Hur inhämtar företaget samtycke?

Hur kan du i efterhand visa att ett giltigt samtycke har lämnats? Den som registreras måste lämna giltigt samtycke till att personuppgifter behandlas. Det får inte finnas någon tvekan om att viljeyttringen är frivillig, specifik och otvetydig. Det är till exempel inte tillräckligt med ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats.

När information samlas in måste även du som företagare lämna viss information. Du måste bland annat informera om den rättsliga grunden för behandlingen, hur länge uppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten om någon anser att personuppgifterna hanterats felaktigt. Informationen måste vara kortfattad, lättbegriplig och tydlig. Tillsynsmyndighet i Sverige är Dataskyddsinspektionen.

Finns det ett inbyggt skydd för personuppgifter i IT-systemet?

Om ditt företag utsätts för dataintrång måste detta dokumenteras. Om händelsen kan medföra risker för enskildas fri- och rättigheter måste intrånget anmälas till tillsynsmyndigheten inom 72 timmar. Bestäm därför redan nu vem i din organisation som ansvarar för en sådan anmälan, så att den kan göras i rätt tid.

Grundläggande inom integritetsskydd är att inte samla in mer information än vad som behövs. Informationen ska inte sparas längre än nödvändigt och inte användas till något annat än det ursprungliga syftet.

Vem är ansvarig för dataskyddsfrågor i företaget?

Du bör bestämma var ansvaret för dataskyddsfrågor ligger i din organisation. Offentliga myndigheter och organisationer med verksamhet som involverar särskilt riskfylld behandling måste utse ett dataskyddsombud.

Sammanfattningsvis gäller det att identifiera och utvärdera företagets behov för att kunna genomföra åtgärder och se till att dessa efterlevs när GDPR blir verklighet. Är du redo?

 

Sara Johansson,
Auktoriserad revisor & kontorschef EY Oskarshamn

070-6811912
0491-879 24
Sara.johansson@se.ey.com