GDPR - Dataskyddsförordningen
Sidan senast uppdaterad 21 maj 2018
Personuppgiftslagen (PUL) ersätts med ny lag den 25 maj 2018
Vad betyder GDPR?
Den 25 maj 2018 ersätts Personuppgiftslagen (PUL) med Dataskyddsförordningen, eller General Data Protection Regulations (GDPR). Detta för att modernisera reglerna i dataskyddsdirektivet och få en mer likartad hantering inom hela EU.
Syftet med Personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Samma syfte har den nya GDPR med det tillägget att företagen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt.
GDPR kommer att medföra strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.
Införandet av GDPR får konsekvenser för alla som för journaler, har kundregister eller på något vis för anteckningar om någon annan.
Vad innebär GDPR för mig som företagare
Du som redan följer PUL kommer att se nedan att det blir vissa ändringar som behöver göras eller tänka på men om du inte är så insatt är det viktigt att du tar till dig den information som behövs för att du inte ska begå något regelbrott. Det är bara du själv som är ansvarig.
GDPR-guide för småföretagare (Datainspektionen/Verksamt.se)
Vad är en personuppgift
En personuppgift är en uppgift som direkt eller indirekt kan identifiera en person. Förutom namn och personnummer kan det till exempel vara en mejladress, en IP-adress, ett bilregistreringsnummer eller ett foto.
Vad innebär behandlas
Begreppet ”behandlas” är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.
5 centrala begrepp när det gäller att följa GDPR
Ändamålsbegränsning
Fundera på varför du behöver uppgifterna och motivera det.
Ska du använda uppgifterna till exempel för marknadsföring eller journalföring - förklara varför.
Behöver du kundens personnummer – förklara varför.
Uppgiftsminimering
Ta inte in mer uppgifter än det du behöver. Motivera alltid varför du tar in de uppgifter du gör.
Samtycke
GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat syfte än vad individen gett sitt samtycke till.
Lagringsminimering
Minimera antal platser du sparar information om dina kunder. Journalen tänker vi oftast först på. Lagrar du information på extern hårddisk, i molnet kanske. Mejlens inkorg, utkorg, skickat, borttaget – här finns det också information som ”sparas”. Glöm inte bort det när du rensar.
Öppenhet
Var öppen med vad du har sparat. Du är alltid skyldig att kunna visa upp vad du har lagrat för uppgifter både för myndighet och enskild person.
Dokumenterade rutiner
Syftet med Personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Samma syfte har den nya GDPR med det tillägget att företagen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det innebär att rutiner kring hanteringen inte bara måste dokumenteras, det betyder även en skyldighet att visa att de efterföljs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys.
Strängare krav på företagen med GDPR
Vad blir konsekvensen av att PUL ersätts av GDPR? Ett utökat, mer uttalat ansvar och risk för sanktioner om reglerna inte efterlevs. Datainspektionen som är tillsynsmyndighet kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag
Källa: Datainspektionen , SRF-konsulterna
Länkar och tips
GDPR-guide för småföretagare (Datainspektionen/Verksamt.se)
Datainspektionen deltar i frågepanel hos Företagarna (Youtube, 47 minuter)
Enkla grunder i dataskydd - (broschyr från Datainspektionen)
Exempel på mall för samtycke
Frågor och svar om GDPR
Checklista - tips för egenkontroll
Här kan du göra ett självtest för att förebereda dig på den nya lagen.
Hur går du vidare med GDPR?
Vi ger dig rådet att kontakta aktörer på din ort som verkar inom företagande och näringsliv. Till exempel Nyföretagarcentrum, Almi, kommunernas näringslivskontor eller liknande för kurser eller mer information om GDPR.