Ordlista
Artiklar
Nyhetsbrev
Om Ageras
Kontakta oss
Jobba hos oss
Som du säkert vet träder EUs nya dataskyddsförordning GDPR i kraft den 25 maj 2018. De nya reglerna gäller alla företag och föreningar som behandlar personuppgifter inom EU och för dig som företagare är det viktigt att se till att ditt företag har rätt processer på plats för att säkerställa att ni behandlar personuppgifter korrekt. I den här artikeln tar vi upp de viktigaste aspekterna av den ny dataskyddsförordningen och hur du ska förhålla dig till dem.Ladda även hem vår steg-för-steg checklista inför GDPR.
Förklaring GDPR
Vad innebär GDPR?
Det finns flera anledningar till att EU valt att genomföra den nya dataskyddsförordningen. Till att börja med är det etiskt motiverat; man vill skydda privatpersoners integritet. Dessutom finns ekonomiska motiv med i bilden. Man förutser att reglerna ska leda till mer tillit till på marknaden, främst online, vilket ska leda till ökad tillväxt och gränsöverskridande handel.
Är det viktigt att följa GDPR?
Ett företag som inte följer den nya dataskyddsförordningen kan bli straffat. Straffet beror på hur grovt övertrampet är. I somliga fall kan det röra sig om en varning eller tillsägelse men om regelbrottet upprepas eller är grovt kan företaget få böter. Böter kan uppgå till 20 miljoner euro eller 4 % av den årliga omsättningen.
Vem behöver bry sig?
Förändringarna berör alla företag, små som stora, men främst företag som samlar data kontinuerligt eller behandlar känsliga data, vilket vi återkommer till senare. Reglerna berör inte enbart information om kunder eller andra affärspartners, utan även anställda, vilket innebär att alla företag berörs på något sätt.
Sverige har för närvarande Personuppgiftslagen (PuL) på plats och den har mycket gemensamt med GDPR. Om ditt företag redan har bra koll på er behandling av personuppgifter ligger ni bra till, men det är en del förändringar ni behöver ta i beaktande.
Med det sagt är det alltså bra att ta en titt på hur ni arbetar idag för att veta vad ni behöver göra. Nedan följer en genomgång av hur ditt företag kan säkerställa att ni är redo att tackla GDPR.
Ageras är en mötesplats för redovisningskonsulter, revisorer och företag. Vår plattform utgår från dina behov som företagare och hittar en redovisningskonsult eller revisor - kostnadsfritt.
Guide till förberedelser inför GDPR
Se över er nuvarande databas
Gå igenom och dokumentera vilka uppgifter ni har lagrade och vilka ni samlar in. Utgångspunkten för GDPR är att det inte är tillåtet att hålla personuppgifter. Innebär det att ingen data är okej? Nej, men det måste finnas motiv med stöd i lagen. Låt oss gå in på vad det innebär.
Uppgifternas relevans
Många företag har gamla personal- och kundregister som ligger och skräpar. Enligt GDPR får personuppgifter inte sparas längre än nödvändigt. Det innebär att du ska radera uppgifter om tidigare anställda och kunder hos företaget. Ett undantag är om uppgifterna behövs för att slutföra förpliktelser gentemot den berörda individen.
Uppgifternas karaktär
Det är även viktigt att se till datans karaktär. I GDPR är det skillnad mellan “vanliga personuppgifter” och “känsliga personuppgifter”. Känsliga personuppgifter är vanligtvis inte tillåtna att behandla. Undantaget är om de är centrala för din verksamhet. Ett exempel på ett företag som kan ha rätt att göra det är ett vårdbolag som håller patientjournaler.
Uppgifter som relaterar till följande kategorier ses som känsliga:
- Etnicitet
- Religion
- Medlemskap i fackföreningar
- Politiska övertygelser
- Hälsa
- Sexualitet
Om ditt företag behandlar persondata som faller i någon av ovanstående kategorier krävs strängare skydd av uppgifterna. Känsliga uppgifter som inte är av direkt intresse för din verksamhet bör du omedelbart göra dig av med.
Då är det lagligt att behandla persondata
Samtycke
Du får behandla persondata om individen gett sitt godkännande. För att ett samtycke ska räknas som giltigt krävs att du tydligt informerat om: vem som samlar in informationen, vilka uppgifter som behandlas, vad de ska användas till och att samtycket uttryckts entydigt. Det ska också finnas möjlighet att dra tillbaka sitt samtycke och du ska informera om hur det ska göras.
EU ger inga exakta beskrivningar för hur samtycket ska genomföras, men det viktigaste är att det sker på ett tydligt sätt genom någon typ av handling som inte kan missuppfattas. Att skrolla en text som beskriver reglerna är inte tillräckligt. Men att swipea eller klicka på en knapp kan vara det om det är uppenbart vad handlingen leder till. En annan central aspekt är att informationen som leder till samtycket presenteras lättillgängligt och med ett språk som är enkelt att förstå, undvik komplicerade facktermer och finstilt.
Det räcker inte att personen går med på att du lagrar datan. Du måste även spara ett bevis på att samtycket skett. Återigen ger EU frihet i att utforma system för hur det ska gå till. Den främsta riktlinjer är att det inte ska bidra till ökad lagring av data.
Avtal
En annan godkänd anledning till behandling av personuppgifter är om du har ett avtal med personen. Det kan exempelvis gälla anställningsavtal eller faktureringskontrakt. Återigen säger reglerna att enbart uppgifter som behövs för att fullgöra avtal får sparas.
Rättslig förpliktelse
Det finns fall då ditt företag måste behandla uppgifter för att kunna fullfölja lagliga förpliktelser. Ett exempel är vid betalning av skatt eller arbetsgivaravgifter. Då måste arbetsgivaren hålla information om sådant som adress.
Skydd av vitala intressen
En del data behövs för att säkerställa en persons säkerhet och i de fallen har företag rätten att behandla personuppgifter. Det kan exempelvis röra sig om en anställd som har en livshotande allergi.
Intresseavvägning
I somliga fall kan det vara berättigat att samla in persondata för att organisationens intresse att göra det väger tyngre än individens intresse att vara anonym. Det baseras då på en så kallad intresseavvägning. Hur det egentligen går till är något luddigt men enligt datainspektionen kommer reglerna för intresseavvägning inte förändras nämnvärt mot hur de var under PuL. Därför hänvisar organisationen till en broschyr som du kan hitta här. Känsliga uppgifter, som vi beskrev tidigare får inte behandlas baserat på en intresseavvägning.
Organisera för GDPR och informera internt
När du vet att din data är okej och att framtida insamling kommer göras i enlighet med reglerna är det dags att säkerställa att resten av organisationen är med på noterna. Börja med att vara transparent och informera om vilken data ni har och hur ni kommer arbeta framåt. Säkerställ att alla i organisationen är ombord och drar i samma riktning.
Planera i förväg och sätt system som säkerställer att ni kontinuerligt rensar i era personuppgifter och att ni inte samlar otillåten data. Dessutom är en viktig aspekt av GDPR att individer ska få mer kontroll över sina personuppgifter. Var därför beredda på att ta bort, ändra, ge ut och ta emot invändningar mot att ni använder personuppgifter, till exempel vid direktreklam.
Upprätta register GDPR
Den nya dataskyddsförordningen kräver att företag som kontinuerligt samlar in personuppgifter för register över behandlingen av datan. I ett sådant register ska det gå att läsa om ändamålen med behandlingen, vilka kategorier av personer man samlar in uppgifter om, vilka kategorier av uppgifter det rör sig om och eventuella deadlines för att radera datan. Man ska dessutom ta med eventuella externa mottagare av uppgifterna och i vilket land de befinner sig.
