Så kommer nya dataskyddsförordningen påverka ert företag

Dataskyddsförordningen påverka ert företag

I maj 2018 träder EU-förordningen General Data Protection Regulation (GDPR) i kraft. Har du koll på hur den kommer påverka dig och din organisation? Annars börjar det bli dags. Här kommer en sammanfattning av ambitionen med GDPR samt hur det kan påverka dig.

GDPR, den nya dataskyddsförordningen reglerar hur företag och organisationer ska behandla personuppgifter och säkerhet runt dessa. Syftet är att stärka medborgarnas rättigheter och möjligheter att kontrollera sina egna personuppgifter.

Eftersom GDPR är en förordning och inte som sin föregångare (dataskyddsdirektivet 1995) ett direktiv kommer den börja gälla direkt i maj 2018. Förordningen gäller dessutom gemensamt för alla medlemsstaterna och är inget som de själva kan tolka eller åsidosätta. Med andra ord kommer GDPR att ersätta svenska PUL som hade sitt ursprung i dataskyddsdirektivet dock kommer GDPR kompletteras med vissa nationella regler.

Förordningen kommer underlätta för företag som har verksamhet i flera olika EU-länder eftersom förutsättningarna i detta avseende blir lika.

 

Vilka omfattas av GDPR?

Alla företag som samlar in, behandlar eller lagrar personuppgifter.

Exempel på de delar av verksamheten som ofta kommer i kontakt med personuppgifter är:

  • HR
  • Affärsområdet
  • IT

 

 

Vad är personuppgifter?

Allt som enskilt eller i kombination kan identifiera en person, exempelvis:

  • Namn
  • Geografisk information
  • E-postadress
  • IP-adress
  • Foto
  • Bankinformation

En skostorlek på 35 i kombination med information om placering kan exempelvis identifiera en person och är därmed en personuppgift.

 

Det små och medelstora företag bör veta om GDPR

  • Rättigheten att bli glömd. Uppgifter om en person ska på dess begäran helt kunna raderas om inte andra lagar säger annat.
  • Strängare krav på inventering av vilka uppgifter som finns, till vad de används och vad/vilka som nyttjar informationen ska finnas.
  • Alla organisationer som handhar personligt data är ansvariga att säkerställa att endast behöriga har tillgång. Att dessutom övervaka vem som får tillgång till data samt när och hur detta sker är att rekommendera.
  • Möjlighet för enskild att få ut lagrade uppgifter om densamme (dock mot skälig avgift) för eget bruk eller för att underlätta vid byte av exempelvis ny social plattform.
  • Säkerhet baserad på risk. Med detta menas inte risk för företaget utan för personen vars data kan komma på avvägar.
  • Substantiella böter, upp till 20 miljoner euro eller 4% av den globala omsättningen om företaget brustit i hanteringen av personuppgifter.

 

En annan viktig förändring som införs med GDPR är kravet på företag och organisationer att senast 72 timmar efter ett intrång upptäckts rapportera detta till Datainspektionen. Om intrånget drabbar enskilda individer och är av allvarlig art ska dessutom de drabbade underrättas.

I praktiken innebär detta att företag blir tvungna att inventera personuppgifter som processas och lagras, rutiner skapas som säkerställer att de hanteras på ett korrekt sätt etableras. Det räcker dock inte, de måste också kunna visa att dessa rutiner efterföljs. Så för många återstår mycket och det är hög tid att börja.

För dig som vill veta mer anmäl dig här till vår Interlan-dag där bland annat Lotta Wikman Öman från Ahlford advokatbyrå kommer att prata mer om GDPR. För dig som inte kan vänta, läs gärna förordningen i sin helhet här.

 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *