NYHET Publicerad

EU:s nya dataskyddslag går till väders

DATASKYDD EU:s nya dataskyddslag träder i kraft den 25 maj nästa år. Kraven är stora jämfört med dagens personuppgiftslag. Som företagare kan du inte sticka huvudet i sanden och tro att förändringen inte gäller dig. Tidningen Entreprenör reder ut vad som gäller och ger de bästa omställningstipsen för att företagare ska kunna undvika bötesbelopp i mångmiljonklassen.

Luftballong med EU-flagga där det står "Dataskyddsförordningen, 25 maj 2018".
Carolina Brånby

Jurist Carolina Brånby arbetar med digitaliseringsfrågor på Svenskt Näringsliv.

Juristen Christina Wainikka på Wainikkas Innovationsbyrå.

Juristen Christina Wainikka på Wainikkas Innovationsbyrå.

Hanteringen av personuppgifter har seglat upp som en ödesfråga för näringslivet. Kunskapstörstande vd:ar och företagare behöver snabbt få grepp om EU:s nya, skarpa dataskyddsförordning, som träder i kraft i maj nästa år.

Många tycker att lagen är svår att förstå och tillämpa. Andra undrar om det ens går att fortsätta med verksamheten. Det är reaktioner och känslor som juristerna Christina Wainikka och Carolina Brånby ofta möter när de är ute och föreläser och utbildar om den nya lagstiftningen och dess konsekvenser.

– Omöjligt, det kommer aldrig att gå. Det var reaktionen för ett år sedan. Nu inser företagarna att dataskyddsförordningen är verklighet och att det gäller att hitta sätt att anpassa verksamheten på för att uppfylla kraven, säger Christina Wainikka.

Det kan framstå som enkelt att lämna ut registerutdrag eller att radera kunduppgifter, men verkligheten är långt ifrån en enkel knapptryckning, enligt Carolina Brånby.

– Räkna med att anpassningen tar tid och kostar pengar. Kartläggning, inköp av nya it-system och framtagande av ny policy kostar uppskattningsvis runt 150 000 kronor per medarbetare, säger hon.

Värst är det för företag som utvecklat ett svårartat beroende av att inte följa gällande personuppgiftslag. De lär få migrän eftersom de dras med, vad Carolina Brånby kallar, en PUL-skuld.

– Förklaringen är en kombination av en lag som är svår att tillämpa och liten risk att bli granskad. Framöver blir det betydligt tuffare, säger hon.

Annons

Anledningen till att EU-kommissionen föreslår skarpare skrivningar och höga sanktioner är den snabba, digitala utvecklingen. Dagligen lämnar vi användare efter oss mängder av digitala spår i sociala nätverk, sökmotorer, appar och molntjänster. Det är lätt för vem som helst att få fram stora mängder information om en människa på nätet, vilket är ett hot mot den personliga integriteten.

EU-kommissionen anser att de registrerades rättigheter behöver stärkas och därmed ökar kraven på dem som hanterar personuppgifter. Därutöver ska harmoniserade regler göra det lättare för personuppgifter att flöda fritt inom EU och skapa en gemensam digital marknad, enligt kommissionen.

De ökade kraven och hotet om höga sanktionsavgifter har fått frågan om dataskydd att flytta in i svenska styrelse- och ledningsrum. Men det är också viktigt för företag att tillsätta en projektledare med ett övergripande ansvar för genomförandet, enligt Carolina Brånby.

– Kunskap om företagets personuppgifter måste sitta i ryggmärgen hos alla i organisationen. Då minimeras riskerna, säger Carolina Brånby, och framhåller att alla medarbetare måste vara med på noterna från start.

Och nu börjar det bli bråttom. Har företaget inte påbörjat omställningen sig blir att-göra-listan lång.

– Det är hög tid att se över styrning, organisering och administration av kunder och kundrelationer, lönesystem, bokföring och att leverantörer uppgraderar sina system, säger Carolina Brånby.

Det är den 25 maj nästa år som den nya dataskyddsförordningen träder i kraft och ersätter personuppgiftslagen från 1998.

Från och med då ställs det krav på företag att bygga in funktioner i sina it-system som skyddar hanteringen av personuppgifter. Företaget ska också på ett lättfattligt sätt kunna informera om hur uppgifter används, ha koll på vilken rättslig grund som gör behandlingen av personuppgifter laglig, se till att inga uppgifter ligger och skräpar och när det inte finns lagligt stöd för att ha dem kvar.

– Hemläxan är att inse att det kostar att göra fel och att rensa i systemen. Företag bör sätta upp rutiner, så att uppgifter gallras och raderas på rätt sätt. Helst ska det ske redan när beslut tas att behandla personuppgifter, säger Carolina Brånby.

Dessutom är säkerheten viktig vid hantering av personuppgifter. I ett bokföringsärende ska behörighet och tillträde begränsas till ekonomiavdelningen och deras system. Uppgifter får inte komma på avvägar och dyka upp hos till exempel marknadsavdelningen för kundutskick.

I den nya förordningen understryks att samtycke ska vara lika lätt att ge som att ta tillbaka samtidigt som det betonas att samtycket inte får tvingas fram utan ska vara frivilligt. Carolina Brånby uppmanar företag att hålla sig borta från samtycke, och istället luta sig mot mer stabila rättsliga grunder som till exempel avtal. Det ger bättre kontroll och minskar risken för krångel och problem.

En annan förändring är att det blir smidigare att flytta personuppgifter från ett företag till ett annat. Företagare är skyldiga att kopiera personuppgifter och omgående flytta dem om den registrerade begär det. Det gäller dock bara om behandlingen bygger på avtal eller samtycke.

– Dataportabilitet ökar konkurrensen mellan företag. Att ha koll på persondata kan bli en fördel i affärer, säger Christina Wainikka.

Fallgropar går att undvika. Se till att vara noga med personuppgiftsbiträdesavtal, då företag ofta lämnar uppgifter vidare till underleverantör eller fackförbund, framhåller Carolina Brånby.  

– Glöm heller inte att få på pränt hur länge uppgifter får behandlas, säger hon och fortsätter:

– Går det fel är det viktigt att agera. Vidta säkerhetsåtgärder som begränsar skadan, så fort som möjligt.

Till de som sladdar och ligger efter tidtabellen ger de båda juristerna råden att ta hjälp av juridisk expertis, lyssna med branschföreträdare eller söka information hos Datainspektionen, den myndighet som hanterar integritetsfrågor.

Företag som struntar i dataskyddsförordningen riskerar att få bita i det sura äpplet mer än en gång, enligt dem.  

Om företag hanterar data utan rättsligt stöd kan Datainspektionen kräva en sanktionsavgift. Uppstår det en incident, till exempel ett dataintrång, och lagrade uppgifter försvinner eller läcker, så ska det rapporteras inom 72 timmar till Datainspektionen. Annars riskerar företaget också sanktioner. Dessutom skadas varumärket om konsumenter får veta hur deras uppgifter hanteras felaktigt och hamnat i orätta händer.

Majoriteten av alla företag har dessutom en webbplats. Ett tips är att skaffa ett utgivningsbevis för den, då lyder webbplatsen inte under dataskyddsförordningen, utan omfattas av lagen om yttrandefrihet.

Enligt Carolina Brånby kan man då publicera personuppgifter, till exempel gruppbilder från evenemang, utan att behöva be varje deltagare om tillåtelse. Dessutom slipper man höga sanktionsavgifter, understryker hon.

Hon varnar också för att lägga ut material på Facebook.

– Då tappar man kontrollen över personuppgifter som företagare är ansvariga för. Så tänk till, måste jag spara denna uppgift. Det kallas uppgiftsminimering och handlar om att endast behandla nödvändiga personuppgifter, säger Carolina Brånby.

 
Kort om EU:s nya dataskyddsförordning
  • Börjar gälla den 25 maj nästa år och ersätter personuppgiftslagen, PUL.
  • Stärker den personliga integriteten.
  • Gäller lika för alla oavsett var i EU man bor.
  • Innebär nya rutiner och riktlinjer för alla som hanterar personuppgifter.
  • Påverkar alla former av personuppgifter som lagras, inklusive ostrukturerade, till exempel i din e-post.
Exempel på personuppgift
  • namn
  • adress
  • personnummer
  • enskild firma
  • ip-adress
  • mejladress
  • foto
  • smeknamn
Exempel på känsliga personuppgifter
  • etniskt ursprung
  • politiskt ursprung
  • religion
  • fackligt medlemskap
  • sexuell läggning
  • hälsa
Exempel på behandling av personuppgift
  • insamling
  • registrering
  • lagring
  • spridning
  • bearbetning
Laglig grund krävs för att handskas med personuppgifter

Fullgörande av avtal
Företag måste anteckna namn och adress till en person för att kunna utföra tjänst enligt avtal, exempelvis rot- och rutavtal.

Rättsliga krav
Behandling av personuppgifter krävs för att företag ska fullgöra lagkrav, kollektivavtal och myndighetsbeslut, exempelvis bokföringslagen.

Intresseavvägning
Om ett företag har ett berättigat intresse av att behandla personuppgifter väger det tyngre än integritetsskyddet och då får behandling ske, exempelvis kundregister.

Samtycke
Företag som samlar in personuppgifter ska bevisa att det finns ett samtycke. Samtycket måste vara frivilligt. Ett samtycke kan alltid återkallas.

Allmänt intresse eller myndighetsutövning
Det är tillåtet att behandla personuppgifter om det är nödvändigt för att utföra en uppgift av allmänt intresse, exempelvis bilprovning.

Skyddande av intresse
En anledning till att behandla personuppgifter kan vara att skydda intressen som är av grundläggande betydelse för den registrerade. När sådan behandling görs är den tillåten, exempelvis akut sjukvård.

Annons
Annons
Annons

Fler nyheter från Entreprenör

NYHET Publicerad:

Debatt: Företag som inte förbereder brexit kan förlora stort

DEBATT Det är hög tid för företagen att börja förbereda sig för brexit. Det menar debattörerna Mattias Hedvall och Johan Zetterström. Företag som inte är förberedda när separationen sker kommer förlora stora värden, menar de.
NYHET Publicerad:

Ungdomsförbunden: Riv upp LAS för att fler ska få jobb

DEBATT "En reform av arbetsrätten är nödvändig för att företag ska kunna anställa och fler människor ska kunna få ett arbete. Vi kommer att arbeta hårt tillsammans för att en alliansregering prioriterar en genomgripande LAS-reform", skriver företrädare för alliansens ungdomsförbund.
NYHET Publicerad:

Kommunalt tvätteri kan bryta mot lagen

OSUND KONKURRENS Kommunala verksamheter som agerar på den öppna marknaden får inte ta del av regeringens uppmärksammade anställningsstöd extratjänster, enligt Arbetsförmedlingens regler. Ändå har Landskrona bemannat ett kommunalt tvätteri med extratjänster. Detta kan strida mot regelverket och möjligen även lagen.
NYHET Publicerad:

Externa ledamöter avgörande för utvecklingen

UNDERSÖKNING Många företagare saknar externa ledamöter i sin styrelse, något som kan vara avgörande för bolagets utveckling, menar affärsrådgivaren Lars-Erik Wiik. ”De flesta entreprenörer är så fokuserade på att hantera den dagliga operativa verksamheten att tiden för de strategiska framtidsfrågorna inte finns eller prioriteras. ”, säger han.
NYHET Publicerad:

Storm i skogspolitiken: Spricka mellan S och MP

ENTREPRENÖR GRANSKAR Att privata skogsägare blir utan ersättning när staten inför avverkningsförbud har lett till en kritikstorm. Politikerna skyller på varandra i den infekterade frågan om äganderätt och miljöhänsyn. En spricka framträder mellan regeringspartierna Socialdemokraterna och Miljöpartiet.
NYHET Publicerad:

Skogsägare utan ersättning efter myndighetsbråk

ENTREPRENÖR GRANSKAR Sedan en uppmärksammad dom 2015 har staten valt att stoppa avverkning av stora arealer fjällnära skog utan att ge ersättning till skogsägarna. Tidningen Entreprenörs granskning visar att arkitekten bakom är Kammarkollegiet. ”Det övergår min fattningsförmåga hur Kammarkollegiet kommit fram till ståndpunkten”, säger Stefan Rubenson, jurist på advokatfirman Åberg & Co och tidigare rättschef på miljödepartementet.
NYHET Publicerad:

”Gymnasieministern drar förhastade slutsatser om glädjebetyg”

VINSTER I VÄLFÄRDEN Gymnasieminister Anna Ekström anklagar friskolorna för glädjebetyg – hänvisar till rapport som saknar analys.
NYHET Publicerad:

Bil Sweden: “Brexit kommer att slå negativt”

BREXIT Svensk fordonsindustri är en av de sektorer som riskerar att drabbas hårdast av Brexit. Det visar en ny rapport från myndigheten Kommerskollegium som presenterades under torsdagen. "Det kan blir stora problem", säger Mattias Bergman, vd Bil Sweden.
NYHET Publicerad:

Regeringen sinkar miljardsatsning i skogsindustrin

BIORAFFINADERIET I DOMSJÖ Bioraffinaderiet Domsjö Fabriker vill göra den största investeringen någonsin i svensk skogsindustri. Men regeringens skogspolitik som innebär att allt större skogsarealer skyddsklassas sätter käppar i hjulen. På spel står 4-5 000 jobb, uppskattar Domsjös vd Lars Winter.
NYHET Publicerad:

Miljöministern KU-anmäld för påhopp på Svenskt Flyg

KLIMAT Miljöminister Karolina Skog, MP, krävde i Dagens Nyheter att statliga Swedavia och Luftfartsverket lämnar branschorganisationen Svenskt Flyg. "Ett angrepp ovärdigt en minister", anser Svenskt Flygs ordförande Niklas Nordström. På fredagseftermiddagen KU-anmäldes Skog för ministerstyre.
NYHET Publicerad:

Sänkte sin lön för att företaget skulle överleva – utvisas

KOMPETENSUTVISNINGAR Entreprenören Ahmed Alnomany behövde sänka sin lön för att företaget skulle överleva. "Lönen var för låg" säger Migrationsverket och utvisar honom.
NYHET Publicerad:

Kjell-Olof Feldt: "Vinsttaket är värre än löntagarfonderna"

VÄLFÄRD Kjell-Olof Feldt, tidigare ordföranden för Friskolornas riksförbund och Sveriges finansminister, kommer med hård kritik mot regeringens och vänsterpartiets förslag om ett vinsttak i den privata välfärden. Han menar att förslaget i princip utgör ett vinstförbud, vilket är ett radikalt politiskt beslut som inte ens togs under den heta striden om löntagarfonderna, enligt honom.
NYHET Publicerad:

"Gråsossen" som värnar vinst i välfärden

PROFIL När Göran Gruber började på Aleris lasarett i Motala innebar det mer än en ny arbetsplats. Den 60-årige kirurgen var tvungen att ompröva sin politiska kompass och syn på vinster i välfärden. "Man kan väl säga att jag fick alla mina fördomar motbevisade", säger han.
NYHET Publicerad:

Monaco nästa för AQ Group

TÄVLING När ABB lade ner startade företaget. Sedan dess har AQ Group levererat vinst varje kvartal i 24 år. I går vann de dessutom SM i företagsamhet, Entrepreneur of The Year. Nu väntar världsfinalen i Monaco.
NYHET Publicerad:

Hemtjänstföretag nobbar Göteborg – "absurt dåligt företagsklimat"

VALFRIHET Göteborgs stad har nyligen öppnat för LOV i hemtjänsten. Trots detta har bara ett fåtal visat intresse – och inte en enda av de större hemtjänstföretagen. ”Det är absurt att Sveriges andra största stad har så dåligt företagsklimat”, säger David Lega (KD), oppositionsråd i Göteborgs stad, och skyller på de rödgröna.