Styrelsen bör ha koll på GDPR

Den 25 maj 2018 ersätts PuL av den nya dataskyddsförordningen. Då skärps kraven på hur företagen hanterar sina register. En anledning till att styrelsen bör ha koll är att felaktig hantering kan ge dryga böter.

Dataskyddsförordningen, ofta förkortad GDPR (General Data Protection Regulation) gäller alla företag som har något slags personregister, till exempel kundregister. Den stora skillnaden mot gamla PuL är att den som inte hanterar sina register rätt riskerar sanktionsavgifter som kan bli ända upp till 4 procent av företagets totala omsättning. Om bolaget omsätter exempelvis 30 miljoner kronor kan avgifterna nå upp till 1,2 miljoner kronor i avgifter om lagen inte följs.

En annan viktig nyhet är att företag med komplex behandling av personuppgifter kan komma att behöva ett dataskyddsombud. De stora företagen har redan utsett sådana, ofta med titeln DPO (Data Protection Officer).

Ett av de viktigaste inslagen i den nya lagen är att företaget eller organisationen ska kunna uppvisa att förordningen följs. Det måste alltså finnas ordentlig dokumentation.

GDPR ska gälla i hela EU, men därutöver har varje land rätt att komplettera  med egna regler. I Sverige har Datainspektionen redan kommit med ett sådant kompletteringsförslag, och ytterligare ett är att vänta. En följd av det blir troligen att man i Sverige kommer att fortsätta hantera personnummer på samma sätt som i dag, det vill säga att företaget måste kunna förklara varför personnummer används, och man får inte använda dem mer än nödvändigt för ändamålet.

Svar på de viktigaste frågorna

Det kan vara bra för styrelsen att se till att ledningen utser de ansvariga i företaget. Här är de viktigaste frågorna att besvara för att komma igång med GDPR-förberedelserna.

Vilka personuppgifter hanteras i företaget?

Inventera och dokumentera vilka personuppgifterna är, hur de samlas in och till vem uppgifterna lämnas ut. Det kan vara kundregister, prospektlistor, medlemslistor, kontaktlistor.

Vilken information lämnas ut?

Granska den information som lämnas till de personer som är registrerade hos företaget och tänk igenom vilka förändringar som kan bli nödvändiga. Det kan handla om hur, varför och till vem reklam och erbjudanden skickas ut.

Används missbruksregeln i dag?

I PuL fanns ett undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Med det menas exempelvis e-post och namnlistor som finns i medarbetarnas datorer. Missbruksregeln försvinner nu, vilket innebär att om företaget i dag stödjer sig på den måste rutinerna ändras.

Hur ska företaget tillmötesgå de registrerades rättigheter?

Hur ser rutinerna ut när någon begär en rättelse i företagets system? Kan systemen hitta och rätta uppgifterna? Vem beslutar om att uppgifter ska rättas? GDPR kallas ibland för ”lagen om rätten att bli bortglömd”. Alla som finns i registren ska ha rätt att bli helt borttagna.

Hur inhämtas samtycke eller hur ser företaget till att registrering är laglig?

Det finns olika grunder för att få hålla ett personregister. En sådan grund är samtycke. Men direkt samtycke från de registrerades sida är ofta inte möjligt. Man kan ha registret på andra grunder, till exempel för att:

  • Fullgöra ett avtal.

  • Fullgöra en laglig förpliktelse.

  • Fullgöra ett enskilt intresse (då företagets intresse väger tyngre än den enskildas intressen).

Vem eller vilka ansvarar för dataskyddsfrågor i er organisation?

Bestäm vem i organisationen som har ansvaret för dataskyddsfrågor, annars riskerar det att falla mellan stolarna. 

Fullständig information finns på Datainspektionens webbplats. Checklista finns att hämta via lindahl.se.

Text: Mikaela Wollin | Foto: Kevin on Unsplash