EU:s nya dataskyddslag går till väders

Dataskydd EU:s nya dataskyddslag träder i kraft den 25 maj nästa år. Kraven är stora jämfört med dagens personuppgiftslag. Som företagare kan du inte sticka huvudet i sanden och tro att förändringen inte gäller dig. Tidningen Entreprenör reder ut vad som gäller och ger de bästa omställningstipsen för att företagare ska kunna undvika bötesbelopp i mångmiljonklassen.

Luftballong med EU-flagga där det står "Dataskyddsförordningen, 25 maj 2018".
Carolina Brånby
Jurist Carolina Brånby arbetar med digitaliseringsfrågor på Svenskt Näringsliv.
Christina Wainikka, policyexpert för immaterialrätt på Svenskt Näringsliv.
Christina Wainikka, policyexpert för immaterialrätt på Svenskt Näringsliv.

Hanteringen av personuppgifter har seglat upp som en ödesfråga för näringslivet. Kunskapstörstande vd:ar och företagare behöver snabbt få grepp om EU:s nya, skarpa dataskyddsförordning, som träder i kraft i maj nästa år.

Många tycker att lagen är svår att förstå och tillämpa. Andra undrar om det ens går att fortsätta med verksamheten. Det är reaktioner och känslor som juristerna Christina Wainikka och Carolina Brånby ofta möter när de är ute och föreläser och utbildar om den nya lagstiftningen och dess konsekvenser.

– Omöjligt, det kommer aldrig att gå. Det var reaktionen för ett år sedan. Nu inser företagarna att dataskyddsförordningen är verklighet och att det gäller att hitta sätt att anpassa verksamheten på för att uppfylla kraven, säger Christina Wainikka.

Det kan framstå som enkelt att lämna ut registerutdrag eller att radera kunduppgifter, men verkligheten är långt ifrån en enkel knapptryckning, enligt Carolina Brånby.

– Räkna med att anpassningen tar tid och kostar pengar. Kartläggning, inköp av nya it-system och framtagande av ny policy kostar uppskattningsvis runt 150 000 kronor per medarbetare, säger hon.

Värst är det för företag som utvecklat ett svårartat beroende av att inte följa gällande personuppgiftslag. De lär få migrän eftersom de dras med, vad Carolina Brånby kallar, en PUL-skuld.

– Förklaringen är en kombination av en lag som är svår att tillämpa och liten risk att bli granskad. Framöver blir det betydligt tuffare, säger hon.

Anledningen till att EU-kommissionen föreslår skarpare skrivningar och höga sanktioner är den snabba, digitala utvecklingen. Dagligen lämnar vi användare efter oss mängder av digitala spår i sociala nätverk, sökmotorer, appar och molntjänster. Det är lätt för vem som helst att få fram stora mängder information om en människa på nätet, vilket är ett hot mot den personliga integriteten.

EU-kommissionen anser att de registrerades rättigheter behöver stärkas och därmed ökar kraven på dem som hanterar personuppgifter. Därutöver ska harmoniserade regler göra det lättare för personuppgifter att flöda fritt inom EU och skapa en gemensam digital marknad, enligt kommissionen.

De ökade kraven och hotet om höga sanktionsavgifter har fått frågan om dataskydd att flytta in i svenska styrelse- och ledningsrum. Men det är också viktigt för företag att tillsätta en projektledare med ett övergripande ansvar för genomförandet, enligt Carolina Brånby.

– Kunskap om företagets personuppgifter måste sitta i ryggmärgen hos alla i organisationen. Då minimeras riskerna, säger Carolina Brånby, och framhåller att alla medarbetare måste vara med på noterna från start.

Och nu börjar det bli bråttom. Har företaget inte påbörjat omställningen sig blir att-göra-listan lång.

– Det är hög tid att se över styrning, organisering och administration av kunder och kundrelationer, lönesystem, bokföring och att leverantörer uppgraderar sina system, säger Carolina Brånby.

Det är den 25 maj nästa år som den nya dataskyddsförordningen träder i kraft och ersätter personuppgiftslagen från 1998.

Från och med då ställs det krav på företag att bygga in funktioner i sina it-system som skyddar hanteringen av personuppgifter. Företaget ska också på ett lättfattligt sätt kunna informera om hur uppgifter används, ha koll på vilken rättslig grund som gör behandlingen av personuppgifter laglig, se till att inga uppgifter ligger och skräpar och när det inte finns lagligt stöd för att ha dem kvar.

– Hemläxan är att inse att det kostar att göra fel och att rensa i systemen. Företag bör sätta upp rutiner, så att uppgifter gallras och raderas på rätt sätt. Helst ska det ske redan när beslut tas att behandla personuppgifter, säger Carolina Brånby.

Dessutom är säkerheten viktig vid hantering av personuppgifter. I ett bokföringsärende ska behörighet och tillträde begränsas till ekonomiavdelningen och deras system. Uppgifter får inte komma på avvägar och dyka upp hos till exempel marknadsavdelningen för kundutskick.

I den nya förordningen understryks att samtycke ska vara lika lätt att ge som att ta tillbaka samtidigt som det betonas att samtycket inte får tvingas fram utan ska vara frivilligt. Carolina Brånby uppmanar företag att hålla sig borta från samtycke, och istället luta sig mot mer stabila rättsliga grunder som till exempel avtal. Det ger bättre kontroll och minskar risken för krångel och problem.

En annan förändring är att det blir smidigare att flytta personuppgifter från ett företag till ett annat. Företagare är skyldiga att kopiera personuppgifter och omgående flytta dem om den registrerade begär det. Det gäller dock bara om behandlingen bygger på avtal eller samtycke.

– Dataportabilitet ökar konkurrensen mellan företag. Att ha koll på persondata kan bli en fördel i affärer, säger Christina Wainikka.

Fallgropar går att undvika. Se till att vara noga med personuppgiftsbiträdesavtal, då företag ofta lämnar uppgifter vidare till underleverantör eller fackförbund, framhåller Carolina Brånby.  

– Glöm heller inte att få på pränt hur länge uppgifter får behandlas, säger hon och fortsätter:

– Går det fel är det viktigt att agera. Vidta säkerhetsåtgärder som begränsar skadan, så fort som möjligt.

Till de som sladdar och ligger efter tidtabellen ger de båda juristerna råden att ta hjälp av juridisk expertis, lyssna med branschföreträdare eller söka information hos Datainspektionen, den myndighet som hanterar integritetsfrågor.

Företag som struntar i dataskyddsförordningen riskerar att få bita i det sura äpplet mer än en gång, enligt dem.  

Om företag hanterar data utan rättsligt stöd kan Datainspektionen kräva en sanktionsavgift. Uppstår det en incident, till exempel ett dataintrång, och lagrade uppgifter försvinner eller läcker, så ska det rapporteras inom 72 timmar till Datainspektionen. Annars riskerar företaget också sanktioner. Dessutom skadas varumärket om konsumenter får veta hur deras uppgifter hanteras felaktigt och hamnat i orätta händer.

Majoriteten av alla företag har dessutom en webbplats. Ett tips är att skaffa ett utgivningsbevis för den, då lyder webbplatsen inte under dataskyddsförordningen, utan omfattas av lagen om yttrandefrihet.

Enligt Carolina Brånby kan man då publicera personuppgifter, till exempel gruppbilder från evenemang, utan att behöva be varje deltagare om tillåtelse. Dessutom slipper man höga sanktionsavgifter, understryker hon.

Hon varnar också för att lägga ut material på Facebook.

– Då tappar man kontrollen över personuppgifter som företagare är ansvariga för. Så tänk till, måste jag spara denna uppgift. Det kallas uppgiftsminimering och handlar om att endast behandla nödvändiga personuppgifter, säger Carolina Brånby.

Kort om EU:s nya dataskyddsförordning
  • Börjar gälla den 25 maj nästa år och ersätter personuppgiftslagen, PUL.
  • Stärker den personliga integriteten.
  • Gäller lika för alla oavsett var i EU man bor.
  • Innebär nya rutiner och riktlinjer för alla som hanterar personuppgifter.
  • Påverkar alla former av personuppgifter som lagras, inklusive ostrukturerade, till exempel i din e-post.
Exempel på personuppgift
  • namn
  • adress
  • personnummer
  • enskild firma
  • ip-adress
  • mejladress
  • foto
  • smeknamn
Exempel på känsliga personuppgifter
  • etniskt ursprung
  • politiskt ursprung
  • religion
  • fackligt medlemskap
  • sexuell läggning
  • hälsa
Exempel på behandling av personuppgift
  • insamling
  • registrering
  • lagring
  • spridning
  • bearbetning
Laglig grund krävs för att handskas med personuppgifter

Fullgörande av avtal
Företag måste anteckna namn och adress till en person för att kunna utföra tjänst enligt avtal, exempelvis rot- och rutavtal.

Rättsliga krav
Behandling av personuppgifter krävs för att företag ska fullgöra lagkrav, kollektivavtal och myndighetsbeslut, exempelvis bokföringslagen.

Intresseavvägning
Om ett företag har ett berättigat intresse av att behandla personuppgifter väger det tyngre än integritetsskyddet och då får behandling ske, exempelvis kundregister.

Samtycke
Företag som samlar in personuppgifter ska bevisa att det finns ett samtycke. Samtycket måste vara frivilligt. Ett samtycke kan alltid återkallas.

Allmänt intresse eller myndighetsutövning
Det är tillåtet att behandla personuppgifter om det är nödvändigt för att utföra en uppgift av allmänt intresse, exempelvis bilprovning.

Skyddande av intresse
En anledning till att behandla personuppgifter kan vara att skydda intressen som är av grundläggande betydelse för den registrerade. När sådan behandling görs är den tillåten, exempelvis akut sjukvård.

Peter Ceder