NYHET Publicerad

EU:s nya dataskyddslag går till väders

DATASKYDD EU:s nya dataskyddslag träder i kraft den 25 maj nästa år. Kraven är stora jämfört med dagens personuppgiftslag. Som företagare kan du inte sticka huvudet i sanden och tro att förändringen inte gäller dig. Tidningen Entreprenör reder ut vad som gäller och ger de bästa omställningstipsen för att företagare ska kunna undvika bötesbelopp i mångmiljonklassen.

Luftballong med EU-flagga där det står "Dataskyddsförordningen, 25 maj 2018".
Carolina Brånby

Jurist Carolina Brånby arbetar med digitaliseringsfrågor på Svenskt Näringsliv.

Juristen Christina Wainikka på Wainikkas Innovationsbyrå.

Juristen Christina Wainikka på Wainikkas Innovationsbyrå.

Hanteringen av personuppgifter har seglat upp som en ödesfråga för näringslivet. Kunskapstörstande vd:ar och företagare behöver snabbt få grepp om EU:s nya, skarpa dataskyddsförordning, som träder i kraft i maj nästa år.

Många tycker att lagen är svår att förstå och tillämpa. Andra undrar om det ens går att fortsätta med verksamheten. Det är reaktioner och känslor som juristerna Christina Wainikka och Carolina Brånby ofta möter när de är ute och föreläser och utbildar om den nya lagstiftningen och dess konsekvenser.

– Omöjligt, det kommer aldrig att gå. Det var reaktionen för ett år sedan. Nu inser företagarna att dataskyddsförordningen är verklighet och att det gäller att hitta sätt att anpassa verksamheten på för att uppfylla kraven, säger Christina Wainikka.

Det kan framstå som enkelt att lämna ut registerutdrag eller att radera kunduppgifter, men verkligheten är långt ifrån en enkel knapptryckning, enligt Carolina Brånby.

– Räkna med att anpassningen tar tid och kostar pengar. Kartläggning, inköp av nya it-system och framtagande av ny policy kostar uppskattningsvis runt 150 000 kronor per medarbetare, säger hon.

Värst är det för företag som utvecklat ett svårartat beroende av att inte följa gällande personuppgiftslag. De lär få migrän eftersom de dras med, vad Carolina Brånby kallar, en PUL-skuld.

– Förklaringen är en kombination av en lag som är svår att tillämpa och liten risk att bli granskad. Framöver blir det betydligt tuffare, säger hon.

Annons

Anledningen till att EU-kommissionen föreslår skarpare skrivningar och höga sanktioner är den snabba, digitala utvecklingen. Dagligen lämnar vi användare efter oss mängder av digitala spår i sociala nätverk, sökmotorer, appar och molntjänster. Det är lätt för vem som helst att få fram stora mängder information om en människa på nätet, vilket är ett hot mot den personliga integriteten.

EU-kommissionen anser att de registrerades rättigheter behöver stärkas och därmed ökar kraven på dem som hanterar personuppgifter. Därutöver ska harmoniserade regler göra det lättare för personuppgifter att flöda fritt inom EU och skapa en gemensam digital marknad, enligt kommissionen.

De ökade kraven och hotet om höga sanktionsavgifter har fått frågan om dataskydd att flytta in i svenska styrelse- och ledningsrum. Men det är också viktigt för företag att tillsätta en projektledare med ett övergripande ansvar för genomförandet, enligt Carolina Brånby.

– Kunskap om företagets personuppgifter måste sitta i ryggmärgen hos alla i organisationen. Då minimeras riskerna, säger Carolina Brånby, och framhåller att alla medarbetare måste vara med på noterna från start.

Och nu börjar det bli bråttom. Har företaget inte påbörjat omställningen sig blir att-göra-listan lång.

– Det är hög tid att se över styrning, organisering och administration av kunder och kundrelationer, lönesystem, bokföring och att leverantörer uppgraderar sina system, säger Carolina Brånby.

Det är den 25 maj nästa år som den nya dataskyddsförordningen träder i kraft och ersätter personuppgiftslagen från 1998.

Från och med då ställs det krav på företag att bygga in funktioner i sina it-system som skyddar hanteringen av personuppgifter. Företaget ska också på ett lättfattligt sätt kunna informera om hur uppgifter används, ha koll på vilken rättslig grund som gör behandlingen av personuppgifter laglig, se till att inga uppgifter ligger och skräpar och när det inte finns lagligt stöd för att ha dem kvar.

– Hemläxan är att inse att det kostar att göra fel och att rensa i systemen. Företag bör sätta upp rutiner, så att uppgifter gallras och raderas på rätt sätt. Helst ska det ske redan när beslut tas att behandla personuppgifter, säger Carolina Brånby.

Dessutom är säkerheten viktig vid hantering av personuppgifter. I ett bokföringsärende ska behörighet och tillträde begränsas till ekonomiavdelningen och deras system. Uppgifter får inte komma på avvägar och dyka upp hos till exempel marknadsavdelningen för kundutskick.

I den nya förordningen understryks att samtycke ska vara lika lätt att ge som att ta tillbaka samtidigt som det betonas att samtycket inte får tvingas fram utan ska vara frivilligt. Carolina Brånby uppmanar företag att hålla sig borta från samtycke, och istället luta sig mot mer stabila rättsliga grunder som till exempel avtal. Det ger bättre kontroll och minskar risken för krångel och problem.

En annan förändring är att det blir smidigare att flytta personuppgifter från ett företag till ett annat. Företagare är skyldiga att kopiera personuppgifter och omgående flytta dem om den registrerade begär det. Det gäller dock bara om behandlingen bygger på avtal eller samtycke.

– Dataportabilitet ökar konkurrensen mellan företag. Att ha koll på persondata kan bli en fördel i affärer, säger Christina Wainikka.

Fallgropar går att undvika. Se till att vara noga med personuppgiftsbiträdesavtal, då företag ofta lämnar uppgifter vidare till underleverantör eller fackförbund, framhåller Carolina Brånby.  

– Glöm heller inte att få på pränt hur länge uppgifter får behandlas, säger hon och fortsätter:

– Går det fel är det viktigt att agera. Vidta säkerhetsåtgärder som begränsar skadan, så fort som möjligt.

Till de som sladdar och ligger efter tidtabellen ger de båda juristerna råden att ta hjälp av juridisk expertis, lyssna med branschföreträdare eller söka information hos Datainspektionen, den myndighet som hanterar integritetsfrågor.

Företag som struntar i dataskyddsförordningen riskerar att få bita i det sura äpplet mer än en gång, enligt dem.  

Om företag hanterar data utan rättsligt stöd kan Datainspektionen kräva en sanktionsavgift. Uppstår det en incident, till exempel ett dataintrång, och lagrade uppgifter försvinner eller läcker, så ska det rapporteras inom 72 timmar till Datainspektionen. Annars riskerar företaget också sanktioner. Dessutom skadas varumärket om konsumenter får veta hur deras uppgifter hanteras felaktigt och hamnat i orätta händer.

Majoriteten av alla företag har dessutom en webbplats. Ett tips är att skaffa ett utgivningsbevis för den, då lyder webbplatsen inte under dataskyddsförordningen, utan omfattas av lagen om yttrandefrihet.

Enligt Carolina Brånby kan man då publicera personuppgifter, till exempel gruppbilder från evenemang, utan att behöva be varje deltagare om tillåtelse. Dessutom slipper man höga sanktionsavgifter, understryker hon.

Hon varnar också för att lägga ut material på Facebook.

– Då tappar man kontrollen över personuppgifter som företagare är ansvariga för. Så tänk till, måste jag spara denna uppgift. Det kallas uppgiftsminimering och handlar om att endast behandla nödvändiga personuppgifter, säger Carolina Brånby.

 
Kort om EU:s nya dataskyddsförordning
  • Börjar gälla den 25 maj nästa år och ersätter personuppgiftslagen, PUL.
  • Stärker den personliga integriteten.
  • Gäller lika för alla oavsett var i EU man bor.
  • Innebär nya rutiner och riktlinjer för alla som hanterar personuppgifter.
  • Påverkar alla former av personuppgifter som lagras, inklusive ostrukturerade, till exempel i din e-post.
Exempel på personuppgift
  • namn
  • adress
  • personnummer
  • enskild firma
  • ip-adress
  • mejladress
  • foto
  • smeknamn
Exempel på känsliga personuppgifter
  • etniskt ursprung
  • politiskt ursprung
  • religion
  • fackligt medlemskap
  • sexuell läggning
  • hälsa
Exempel på behandling av personuppgift
  • insamling
  • registrering
  • lagring
  • spridning
  • bearbetning
Laglig grund krävs för att handskas med personuppgifter

Fullgörande av avtal
Företag måste anteckna namn och adress till en person för att kunna utföra tjänst enligt avtal, exempelvis rot- och rutavtal.

Rättsliga krav
Behandling av personuppgifter krävs för att företag ska fullgöra lagkrav, kollektivavtal och myndighetsbeslut, exempelvis bokföringslagen.

Intresseavvägning
Om ett företag har ett berättigat intresse av att behandla personuppgifter väger det tyngre än integritetsskyddet och då får behandling ske, exempelvis kundregister.

Samtycke
Företag som samlar in personuppgifter ska bevisa att det finns ett samtycke. Samtycket måste vara frivilligt. Ett samtycke kan alltid återkallas.

Allmänt intresse eller myndighetsutövning
Det är tillåtet att behandla personuppgifter om det är nödvändigt för att utföra en uppgift av allmänt intresse, exempelvis bilprovning.

Skyddande av intresse
En anledning till att behandla personuppgifter kan vara att skydda intressen som är av grundläggande betydelse för den registrerade. När sådan behandling görs är den tillåten, exempelvis akut sjukvård.

comments powered by Disqus
Annons
Annons
Annons

Fler nyheter från Entreprenör

NYHET Publicerad:

Kristersson till Löfven: "Er skattepolitik utdömd sen 70-talet"

SKATTER Moderatledaren Ulf Kristersson pikade Stefan Löfven och beskrev regeringens skattepolitik som företagsfientlig och förlegad. Det var bara ett exempel på en hård ordväxling om skattepolitiken i höstens första partiledardebatt i riksdagen.
NYHET Publicerad:

"Rädda Sveriges anseende efter kompetensutvisningarna"

KOMPETENSUTVISNINGARNA Nu uppmanar Stockholms Handelskammare till handling för att locka fler högutbildade till Sverige.
NYHET Publicerad:

Inget stoppar Sorunda-korven

VAD HÄNDE SEN Äkta råvaror och ett omsorgsfullt hantverk. Det är filosofin på Sorunda korvfabrik, tillsammans med inställningen att växandet ska ske i lugn takt. Det betalar sig nu när den lokalproducerade korven hittar allt längre ut i landet.
NYHET Publicerad:

Revisionsplikten återinförs

REVISION Ökad risk för skattefusk, försvårat arbete mot ekonomisk brottslighet och få positiva effekter. Det är resultatet av att revisionsplikten för små aktiebolag avskaffades. Därför menar nu Riksrevisionen att revisionsplikten bör återinföras
NYHET Publicerad:

"Regeringen bär ansvar för negativa attityder mot företagare"

DEBATT Den rödgröna regeringen bär ett stort ansvar för negativa attityder och bristande kunskap om företagandet, menar debattören Cecilia Widegren (M) i en replik till näringsminister Mikael Damberg. Hon menar att de svenska villkoren och förutsättningarna måste hålla i en global konkurrens.
NYHET Publicerad:

David Batra: "Utan entreprenörer funkar inget samhälle"

10 FRÅGOR David Batra är ståuppkomiker och skådespelare – aktuell med showen om hans fru, toppolitikern Anna Kinberg Batra. Han tycker att entreprenörer är livsnödvändiga för samhället. ”När jag började som komiker på heltid och startade företag kändes det viktigt att visa för mig själv och omgivningen att jag kunde leva på det”, säger han.
NYHET Publicerad:

Hygglig affärsidé lockar investerare

NYKLÄCKT Nystartade Hygglo vill att du delar med dig och tar del av saker som inte används. Ett år efter starten har de fått in 10,8 miljoner kronor och är nu den största tjänsten för uthyrning mellan privatpersoner i Sverige.
NYHET Publicerad:

Global rekryteringsexpert: ”Vi har mycket att vinna på det nya dataskyddet”

DATASKYDD Den nya dataskyddsförordningen ställer stora krav på hur företagen hanterar personuppgifter. Men chefsrekryteraren Mercuri Urval började ställa om i tid, vilket till och med har resulterat i vunna affärer. ”Ska man förhandla med stora företag är det otänkbart att inte kunna visa upp att man är på god väg”, säger Robin Karlestedt, direktör för affärsutveckling.
NYHET Publicerad:

EU:s nya dataskyddslag går till väders

DATASKYDD EU:s nya dataskyddslag träder i kraft den 25 maj nästa år. Kraven är stora jämfört med dagens personuppgiftslag. Som företagare kan du inte sticka huvudet i sanden och tro att förändringen inte gäller dig. Tidningen Entreprenör reder ut vad som gäller och ger de bästa omställningstipsen för att företagare ska kunna undvika bötesbelopp i mångmiljonklassen.
NYHET Publicerad:

Svenskan som gör internet säkert

ENTREPRENÖR Hon har kallats för ”hackarnas mardröm”. Hon har kunder som Google, Amazon och Facebook. Hon har blivit inbjuden till Vita huset av Barack Obama. Svenska Stina Ehrensvärd är entreprenören vars säkerhetsnyckel är för datoranvändare vad säkerhetsbältet är för bilförare. Tidningen Entreprenör reste till Silicon Valley för att träffa succéföretaget Yubicos grundare.
NYHET Publicerad:

Sista Entreprenör på papper - nu drar vi igång fPlus

BÄSTA LÄSARE Det första numret av tidningen Entreprenör kom ut i maj 2001. Det sista numret av Entreprenör på papper är det som kommer ut i veckan, nummer 10 2017. I fortsättningen hittar du nyheter för företagsamt folk på entrepenor.se, som lever vidare som nyhetssajt på nätet, och i den nya nyhetsappen fPlus.
NYHET Publicerad:

Filmklipp från jourbesök gör succé i sociala medier

MARKNADSFÖRING Med en tydlig digital strategi har Håkan Svanström, ägare av Svanströms El och VVS, hittat en framgångsrik väg till nya affärer på Facebook. ”Jag lägger ner mycket tid på att filma dråpliga jourjobb och lyfter fram exempel på dåligt utförda jobb. Ska man nå ut måste man ha ett budskap och ett intresse för att sköta och följa upp sina inlägg”, säger han.
NYHET Publicerad:

Lurades av blufföretag: ”För jävligt”

BLUFFAKTUROR Nu rasar det in bluffakturor hos svenska småföretag. Maria Larsson lurades att tro att hon fyllde i en myndighetsenkät, men fick istället en saftig faktura från blufföretaget Företagsopinion.
NYHET Publicerad:

Stopp för styrelsekompetens efter dom i högsta instans

STYRELSER En dom i Högsta förvaltningsdomstolen sätter käppar i hjulet för Tjeders. När styrelseledamöter inte längre kan fakturera sitt arbete kan det blir svårt att hitta kompetens till styrelserummen.
NYHET Publicerad:

Hållbara strumpbyxor växande nisch i jättebransch

VAD HÄNDE SEN Ett nytt miljötänkande i en traditionell och till del konservativ bransch. Det blev startskottet för byggandet av en helt ny nisch i den miljardindustri som tillverkningen av nylonstrumpor är. Nu tar Swedish Stockings de första stegen in på marknaden i USA.