Hårdare krav på hantering av personuppgifter

Newsroom - Hårdare krav på hantering av personuppgifter - ctl00_cph1_approvedImg

EU:s nya dataskyddsförordning GDPR har trätt i kraft och den ställer tuffa krav på alla företag och organisationer som hanterar personuppgifter.

Vad är GDPR?

Dataskyddsförordningen handlar om hanteringen av personuppgifter. General Data Protection Regulation (GDPR) har sedan 25 maj 2018 ersatt personuppgiftslagen (PUL) i Sverige. 

GDPR har införts för att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.

GDPR har ungefär samma regelverk som PUL när det gäller hantering av personuppgifter, men innehåller även en uppdatering och skärpning av reglerna. Vad innebär då personuppgifter enligt GDPR? Ja, det definieras som all data som kan användas för att identifiera en fysisk person. Det kan t ex handla om personnummer, bilder, adresser eller IP-adresser.

Vilka omfattas av GDPR?

Dataskyddsförordningen gäller för alla som hanterar någon typ av personuppgifter. Det kan vara uppgifter om anställda eller kunder och röra lönelistor, kundregister, produkter, tjänster och appar etc.

Förordningen gäller för den personuppgiftsansvarige, dvs den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträde, dvs den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.

Behandling av personuppgifter

Personuppgifter får bara hanteras på ett säkert och korrekt sätt. Hantering av personuppgifter får bara göras om det finns en laglig grund till det. Detta innebär bland annat att det måste finnas en rättslig grund för behandlingen. Rättslig grund är t ex samtycke från den berörda personen – vilket innebär att en i förväg ikryssad ruta på en webbplats inte räcker.

Varje behandling av personuppgifter måste ha ett tydligt och specifikt syfte, man kan inte samla in personuppgifter för att det ”kan vara bra att ha”. Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

En viktig nyhet är att den som behandlar personuppgifter ska ansvara för och kunna visa att man följer bestämmelserna i dataskyddsförordningen (ansvarsskyldighet). Det innebär att man måste dokumentera när, varför, vad och hur man behandlar personuppgifter.

Missbruksregeln borta

Enligt PUL är det tillåtet att i de flesta fall behandla personuppgifter som finns i ostrukturerad form, som exempelvis e-post och word-dokument. Enligt GDPR omfattas all behandling av ostrukturerad data (e-post, fritext i dokument, ljudfiler) av hela lagen och det finns inte längre några undantag.

Får ej sparas längre än nödvändigt

Personuppgifter får bara sparas så länge det är nödvändigt. När ändamålet med personuppgifterna är uppfyllt ska uppgifterna raderas eller avidentifieras.  

Dryga böter om inte GDPR efterföljs

Både personuppgiftsansvariga och personuppgiftsbiträden kan drabbas av böter om man inte följer GDPR. Man kan bli tvungen att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning om man inte följer förordningens krav.

Varje berörd person har rätt att få tillgång till de uppgifter ett företag har registrerat gällande personen. Man kan även begära att företaget ska rätta eller radera data.

Dataintrång måste anmälas

Om det inträffar ett dataintrång eller någon annan incident som påverkar säkerheten måste företaget anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva meddela de registrerade om vad som hänt.

Vill du veta mer rekommenderar vi webbkursen GDPR för små och medelstora företag

Få de viktigaste nyheterna kostnadsfritt!

BL Nyhetsbrev kommer en gång i månaden och sammanfattar de viktigaste nyheterna inom skatte-, redovisnings-, juridik- och personalområdet. Anmäl dig och få kostnadsfritt de senaste nyheterna.

För information om hur vi behandlar dina personuppgifter »

Lyssna och lär med vår podcast!

– få tips på hur du framgångsrikt driver företag!