DrivkraftArtiklar

Är du redo för GDPR?

Varje gång någon öppnar ett bankkonto, går med i ett socialt nätverk på Internet eller bokar en resa online, delas viktig personlig information. Vilket ansvar har du som företagare för att informationen inte sprids eller missbrukas på annat sätt?

Den 25 maj 2018 ersätter EU:s dataskyddsförordning General Data Protection Regulation (GDPR) den svenska personuppgiftslagen (PUL). Syftet är att EU ska ha enhetliga dataskyddsregler, vilket gör det lättare för företag att verka på marknaden inom unionen.

Vad är skillnaden mot tidigare?
Den nya dataskyddsförordningen innehåller vissa nya bestämmelser. Därför bör du som företagare fundera över vilka konsekvenser förordningen kommer att få. I större organisationer påverkas frågor om personal, budget, styrning och framförallt it-system. Det innebär även ökade krav på dokumentation. Nytt är också att tillsynsmyndigheten kan döma ut sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av organisationens omsättning om behandlingen av personuppgifter missköts.

Frågor som du bör fundera över redan nu

  • Vilka personuppgifter hanterar företaget?
  • Hur inhämtar företaget samtycke?
  • Finns det ett inbyggt skydd för personuppgifter i it-systemet?
  • Har företaget verksamhet i flera länder?
  • Vem är ansvarig för dataskyddsfrågor i företaget?

Vilka personuppgifter hanterar företaget?
Tidigare har du som företagare i stort sett ägt de personuppgifter som samlats in. De nya reglerna innebär i stället att privatpersoner äger sina egna uppgifter och att företag bara lånar dem. Den som är registrerad har rätt att begära ut information om vilka personuppgifter som behandlas. Denna information ska lämnas kostnadsfritt. Det kan även finnas krav på att lämna ytterligare information, till exempel hur länge uppgifterna ska lagras och om personer har rätt att få felaktiga uppgifter rättade. Om en person begär ut information på elektronisk väg ska personen ifråga också kunna få informationen elektroniskt.

Om du rättar en uppgift som tidigare lämnats ut till någon annan, måste du informera mottagaren så att denna i sin tur kan rätta sina egna register. För att det ska vara möjligt måste du veta vilka uppgifter som hanteras, varifrån de kommer och till vem uppgifterna har lämnats ut.

Sverige har en särregel som tillåter behandling i ostrukturerat material, exempelvis löpande text på Internet, om behandlingen inte kränker den registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner denna särregel. Därför bör du undersöka om företaget har en rättslig grund för behandlingen, om de grundläggande kraven på behandlingen är uppfyllda och om de registrerade fått information på ett korrekt sätt. Du bör även se över företagets rutiner för exempelvis lagring av e-post och skapa system för hur informationen där ska kunna skyddas och hanteras på rätt sätt.

Hur inhämtar företaget samtycke?
Hur kan du i efterhand visa att ett giltigt samtycke har lämnats? Den som registreras måste lämna giltigt samtycke till att personuppgifter behandlas. Det får inte finnas någon tvekan om att viljeyttringen är frivillig, specifik och otvetydig. Det är till exempel inte tillräckligt med ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats.

I den nya förordningen kommer det att finnas ett förstärkt skydd för barns personuppgifter (barn under 16 år). Vårdnadshavares samtycke måste inhämtas för att barnets uppgifter ska kunna behandlas. Du måste även kunna visa att vårdnadshavaren lämnat sitt samtycke.

När information samlas in måste även du som företagare lämna viss information. Du måste bland annat informera om den rättsliga grunden för behandlingen, hur länge uppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten om någon anser att personuppgifterna hanterats felaktigt. Informationen måste vara kortfattad, lättbegriplig och tydlig. Tillsynsmyndighet i Sverige är Dataskyddsinspektionen.

Finns det ett inbyggt skydd för personuppgifter i it-systemet?
Om ditt företag utsätts för dataintrång måste detta dokumenteras. Om händelsen kan medföra risker för enskildas fri- och rättigheter måste intrånget anmälas till tillsynsmyndigheten inom 72 timmar. Bestäm därför redan nu vem i din organisation som ansvarar för en sådan anmälan, så att den kan göras i rätt tid.

Grundläggande inom integritetsskydd är att inte samla in mer information än vad som behövs. Informationen ska inte sparas längre än nödvändigt och inte användas till något annat än det ursprungliga syftet. Att bygga in dataskydd i it-system kallas privacy by design och regleras uttryckligen i GDPR. Vilka åtgärder som behöver göras i systemen beror på vilka uppgifter som samlas in, hur omfattande de är och syftet. Ett exempel på åtgärd kan vara pseodonymisering. Det innebär att uppgifterna inte går att koppla till en enskild person, utan hjälp av annan information som hålls avskild (en typ av nyckel). Ytterligare en åtgärd kan vara dataminering, det vill säga att endast behandla de uppgifter som faktiskt är nödvändiga för varje enskilt ändamål.

Har företaget verksamhet i flera länder?
Enligt huvudregeln ska en organisation bara behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Vilket land bestäms utifrån var din organisation har sin centrala förvaltning eller var beslut om personuppgiftsbehandling fattas.

Vem är ansvarig för dataskyddsfrågor i företaget?
Du bör bestämma var ansvaret för dataskyddsfrågor ligger i din organisation. Offentliga myndigheter och organisationer med verksamhet som involverar särskilt riskfylld behandling måste utse ett dataskyddsombud.

Sammanfattningsvis gäller det att identifiera och utvärdera företagets behov för att kunna genomföra åtgärder och se till att dessa efterlevs när GDPR blir verklighet. För mer information kontakta ditt närmaste EY-kontor.