GDPR – Dataskyddsförordningen

 

Personuppgiftslagen (PUL) ersätts med ny lag  den 25 maj 2018

 

Vad betyder GDPR?

Den 25 maj 2018 ersätts Personuppgiftslagen (PUL) med Dataskyddsförordningen, eller General Data Protection Regulations (GDPR). Detta för att modernisera reglerna i dataskyddsdirektivet och få en mer likartad hantering inom hela EU.

Syftet med Personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Samma syfte har den nya GDPR med det tillägget att företagen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt.

GDPR kommer att medföra strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.

Införandet av GDPR får konsekvenser för alla som för journaler, har kundregister eller på något vis för anteckningar om någon annan.

 

Vad innebär GDPR för mig som företagare

Du som redan följer PUL kommer att se nedan att det blir vissa ändringar som behöver göras eller tänka på men om du inte är så insatt är det viktigt att du tar till dig den information som behövs för att du inte ska begå något regelbrott. Det är bara du själv som är ansvarig.

GDPR-guide för småföretagare (Datainspektionen/Verksamt.se)

 

Vad är en personuppgift

En personuppgift är en uppgift som direkt eller indirekt kan identifiera en person. Förutom namn och personnummer kan det till exempel vara en mejladress, en IP-adress, ett bilregistreringsnummer eller ett foto.

 

Vad innebär behandlas

Begreppet ”behandlas” är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.

 

5 centrala begrepp när det gäller att följa GDPR


Ändamålsbegränsning

Fundera på varför du behöver uppgifterna och motivera det.
Ska du använda uppgifterna till exempel för marknadsföring eller journalföring – förklara varför.
Behöver du kundens personnummer – förklara varför.


Uppgiftsminimering

Ta inte in mer uppgifter än det du behöver. Motivera alltid varför du tar in de uppgifter du gör.


Samtycke

GDPR innebär att behandlingen bara får ske i samtycke  och uppgifterna får inte användas för något annat syfte än vad individen gett sitt samtycke till.


Lagringsminimering

Minimera antal platser du sparar information om dina kunder. Journalen tänker vi oftast först på. Lagrar du information på extern hårddisk, i molnet kanske. Mejlens inkorg, utkorg, skickat, borttaget – här finns det också information som ”sparas”. Glöm inte bort det när du rensar.


Öppenhet

Var öppen med vad du har sparat. Du är alltid skyldig att kunna visa upp vad du har lagrat för uppgifter både för myndighet och enskild person.

 

Dokumenterade rutiner

Syftet med Personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Samma syfte har den nya GDPR med det tillägget att företagen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det innebär att rutiner kring hanteringen inte bara måste dokumenteras, det betyder även en skyldighet att visa att de efterföljs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys.

 

Strängare krav på företagen med GDPR

Vad blir konsekvensen av att PUL ersätts av GDPR? Ett utökat, mer uttalat ansvar och risk för sanktioner om reglerna inte efterlevs. Datainspektionen som är tillsynsmyndighet kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag

Källa:  Datainspektionen , SRF-konsulterna

 

Länkar och tips

Datainspektionen

GDPR-guide för småföretagare (Datainspektionen/Verksamt.se)

Enkla grunder i dataskydd – (broschyr från Datainspektionen)

Känsliga uppgifter

 

Frågor och svar om GDPR

Checklista – tips för egenkontroll

 

Här kan du göra ett självtest för att förebereda dig på den nya lagen.

Till självtestet

 

Hur går du vidare med GDPR?

Vi  ger dig rådet att kontakta aktörer på din ort som verkar inom företagande och näringsliv. Till exempel Nyföretagarcentrum, Almi, kommunernas näringslivskontor eller liknande för kurser eller mer information om GDPR.