Den 25 maj 2018 börjar EU:s nya dataskyddsförordning, GDPR, att gälla. GDPR styr hur du som företagare får behandla personuppgifter – såväl dina prospekts och kunders, som dina anställdas. Här reder vi ut vad du behöver tänka på för att vara redo när regelverket börjar gälla.
Det är mycket prat om GDPR just nu. Många företagare gör vad de kan för att förbereda sig så att man följer alla regler när de börjar gälla den 25 maj i år. Men vad innebär egentligen GDPR? Och hur påverkar det dig som företagare?
GDPR, eller dataskyddsförordningen, är ett gemensamt regelverk för alla EU:s medlemsländer och kommer att ersätta nationella regler kring hur företag och organisationer får behandla personuppgifter. I Sverige kommer GDPR alltså att ersätta personuppgiftslagen, PUL, som vi tidigare haft att rätta oss efter.
Individen äger sina uppgifter
Den största skillnaden jämfört med PUL är kanske sättet GDPR ser på ägandeskap av en personuppgift. GDPR innebär nämligen att den enskilda personen på ett tydligare sätt äger fullständiga rättigheter till sina egna personuppgifter. Det betyder att du som företagare bara kan “låna” dem, så länge en individ tillåter det.
Du måste därför vara tydlig med varför du samlar in personuppgifter, hur du kommer att lagra dem samt vad du ska använda dem till, i samband med att du samlar in uppgifterna. Och du får absolut inte använda en persons uppgifter på annat sätt än vad du fått tillstånd till.
Inte bara nyheter
Men det här är ju inte helt olikt reglerna i PUL, och faktum är att GDPR inte innebär att vi har ett helt nytt regelverk från och med den 25 maj. Många av reglerna motsvarar nämligen de regler som redan idag gäller enligt PUL.
Du får precis som tidigare behandla personuppgifter från personer som visat intresse för din produkt så länge du har samtycke från den registrerade eller för att uppfylla ett avtal . Och precis som tidigare kommer den registrerade ha rätt att få information om den personuppgiftsbehandling som sker.
Stramare och tydligare
Skillnaden mellan GDPR och PUL är snarare att den förstnämnda bidrar med fler regler och större tydlighet kring vad du får och inte får göra med de uppgifter du samlar in. En av nyheterna är till exempel individens “rätt att bli glömd” som införs i samband med GDPR träder i kraft. Det här betyder att den som godkänt att du lagrar dennes personuppgifter har rätt att ångra sig och be dig att glömma alla uppgifter.
Detta innebär alltså att du måste ha en färdig plan för hur du går tillväga om någon vill att du raderar alla hens uppgifter. Du måste även vara beredd att exportera personers samtliga uppgifter om de skulle vilja få ut dem för att till exempel föra över dem till en annan tjänst. Detta kallas dataportabilitet.
Några andra viktiga nyheter som du bör tänka på i och med GDPR är:
Konsekvensbedömning – Om du planerar en personuppgiftsbehandling som kan innebära särskilda risker för de registrerade måste du göra en bedömning av vilka konsekvenser din behandling kan få, samt hur du kan minska riskerna.
Anmälan om personuppgiftsincident – Om det förbjudna skulle ske – till exempel ett dataintrång eller annan förlust av uppgifter, måste du anmäla detta till Datainspektionen inom 72 h. Du kan även behöva meddela de registrerade vars uppgifter läckt ut.
Missbruksregeln försvinner – I PUL fanns ett kryphål som sade att det är ok att behandla personuppgifter i löpande text och löpande listor så länge det inte är kränkande för någon. Den här regeln försvinner i och med GDPR.
När man pratar om GDPR är det lätt att inte se skogen för alla träd. Man tror att förändringen ska bli större än vad den faktiskt kommer att bli. Därför är det bra att komma ihåg att den övergripande tanken med de nya reglerna är att tydligare betona att ett företag eller organisation som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningen följs.
På verksamt.se finns en bra guide att gå igenom för att säkerställa att du är förberedd när GDPR träder i kraft.
Nyfiken på hur vi på Wint har förberett oss för att följa GDPR?
Ta en titt på “Så jobbar vi på Wint för att följa GDPR”