Om lite drygt ett år ersätts den svenska personuppgiftslagen (PUL) med en ny dataskyddsförordning. Uppfyller ditt företag de krav som ställs? Det här bör du tänka på när du börjar förbereda dig inför EU:s nya dataskyddsförordning.

25maj 2018 träder den nya europeiska dataskyddsförordningen i kraft och ersätter PUL. Även om många av reglerna i dataskyddsförordningen är samma som i den svenska personuppgiftslagen innehåller förordningen en hel del nyheter.

Det är hög tid att börja förbereda sig, och för den som inte vill riskera dryga böter gäller det att hålla tungan rätt i mun. Axel Tandberg, jur kand och vd på Tandberg & Partners, föreläser om de nya reglerna och hjälper företag att implementera dem.

– Den stora skillnaden är att företagen tidigare mer eller mindre ägde de personuppgifter som samlats in. De nya reglerna innebär att privatpersoner äger sina egna uppgifter, medan företagen bara har dem till låns.

Det nya regelverket innebär ett större ansvar för företagen, som måste kunna visa exakt hur insamlade uppgifter används och hanteras.

– Skyddet för individens integritet stärks och ett större antal uppgifter blir konfidentiella.

Axel Tandberg rekommenderar alla företag att börja se över sina rutiner redan nu, för att hitta eventuella brister i systemen och hinna åtgärda dem i tid. Frågor man kan ställa sig är till exempel: Hur samlas uppgifterna in? Vem har tillgång till dem? Kommer de vid något tillfälle i kontakt med en tredje part?

– Det blir även viktigare att informera kunder om hur uppgifterna de lämnar kommer att hanteras, säger han.

När det gäller känslig information som etnicitet, sexuell läggning, religion och hälsa kommer dels ett aktivt samtycke krävas för att registrering av uppgifterna ska tillåtas, dels en motivering till varför de behövs. Där det tidigare räckt att kryssa i en ruta, ökar nu kraven på ett explicit medgivande.

– För att det ska vara tillåtet att samla in uppgifterna måste det även finnas ett berättigat intresse av dem, säger Axel Tandberg.

Nina Quist, Josefin Svenberg

Fakta:

Dataskyddsförordningen ersätter PUL

24 oktober 1998

Den svenska personuppgiftslagen, PUL, träder i kraft. Lagen bygger på ett EU-direktiv från 1995, det så kallade dataskyddsdirektivet.

25 januari 2012

Europeiska kommissionen presenterar ett förslag till nya regler om dataskydd och personuppgiftsbehandling. Syftet är att modernisera reglerna i dataskyddsdirektivet och få en mer enhetlig tillämpning inom EU.

14 april 2016

Europaparlamentet antar formellt dataskyddsförordningen, sex dagar efter att EU:s ministerråd gjort detsamma.

25 maj 2018

Dataskyddsförordningen ersätter den svenska personuppgiftslagen.

Fakta:

Att tänka på!

Det är inte tillåtet att ...

... samla in personuppgifter från barn under 16 år utan att inhämta samtycke från vårdnadshavare.

.... samla in och registrera känsliga personuppgifter utan laglig grund.

.... spara identifierbara uppgifter när det inte längre finns någon motiverat behov av dem.

.... underlåta att rätta sig efter förelägganden från dataskyddsmyndigheter.

.... använda personuppgifter på sätt som uppgiftslämnaren inte informerats om.

.... spara e-post på ett ostrukturerat sätt.

.... delge tredje part insamlade uppgifter utan att uppgiftslämnaren informerats.

Fakta:

Sanktionsavgifter

De nya reglerna i sin helhet finns att läsa i artikel 83 i dataskyddsförordningen. Till nyheterna hör bland annat att EU-ländernas dataskyddsmyndigheter kommer att kunna utdöma en sanktionsavgift för brott mot särskilt angivna bestämmelser i förordningen.

Överträdelserna handlar om sådant som inte heller tidigare varit tillåtet, skillnaden är att nu kan sanktionsavgifter på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen utdömas.

Omständigheter som avgör avgiftens belopp är till exempel överträdelsens karaktär och svårighetsgrad, om den skett med uppsåt eller av oaktsamhet, vilka åtgärder som vidtagits för att lindra skadan och om man gjort ekonomisk vinst till följd av brottet.