Under hösten 2017 undersökte Företagarna kunskapen om GDPR bland svenska företag, resultatet visade att många företagare inte kände till att reglerna för hantering av personuppgifter ändras från och med 25 maj i år. Av de som kände till ikraftträdandet var många företagare dessutom inte säkra på vad det skulle innebära för deras verksamheter.
I takt med att införandet närmar sig märks en allt högre efterfrågan på kunskap och råd kring GDPR bland företagen. Karin Berggren, chefjurist och ansvarig för juridisk rådgivning på Företagarna är en av de som märker av den stora efterfrågan som finns:
– Många är osäkra på vad det kommer att innebära för deras företag och under våren har vi märkt av ett allt större intresse för information om GDPR. På bara ett dygn kan vi få fler frågor om GDPR än vad vi brukar få om den gamla personuppgiftslagen under ett helt år, det säger ganska mycket, säger Karin Berggren.
Företag som inte följer de nya reglerna kan drabbas av kännbara böter på upp till 20 miljoner euro eller fyra procent av den globala omsättningen. Men vägen dit föregås av varningar och reprimander, och för det företag som följer några enkla råd ska det inte vara någon större risk:
– Det viktigaste är att företaget bedriver ett strukturerat arbete med personuppgiftshantering. Samla inte in fler personuppgifter än nödvändigt och enbart för specifika och i förväg bestämda ändamål. Spara inte uppgifterna längre än nödvändigt. Var säker på att ha stöd för laglig behandling av uppgifterna, till exempel efter en intresseavvägning, berättar Karin Berggren.
Hur mycket arbete som behöver göras i förberedelse inför ikraftträdande kommer däremot variera mycket för småföretagen och bero på vilken typ av verksamhet de bedriver. Om företaget hanterar stora mängder personuppgifter kan det bli fråga om ett omfattande arbete, och då kan det bli ett problem man inte är ute i god tid:
– Har företaget påbörjat förberedelserna i god tid ska det förhoppningsvis vara löst fram till maj. Men för många företag kan det bli fråga om att ta in extern kompetens för att kunna efterleva regelverken, och har företaget små ekonomiska marginaler kan det självklart vara ett problem, konstaterar Karin Berggren.
Många frågor som kommer in till Företagarnas juridiska rådgivning om GDPR är väldigt grundläggande, och här delar Karin Berggren med sig av svaren på några av viktigaste och vanligaste frågorna från företagare:
Vad är GDPR?
Nya dataskyddsförordningen, internationellt förkortat GDPR (General Data Protection Regulation), gäller över hela EU från och med 25 maj 2018 och reglerar hantering och lagring av personuppgifter i bland annat företag och organisationer.
Vad innebär det för mig som företagare?
GDPR ställer stora krav på företag att skydda uppgifter om fysiska personer. Ditt företag kan behöva anpassa sina system och ert sätt att hantera uppgifter så att ni följer förordningen. Du kommer också att vara tvungen att se över företagets avtal med leverantörer av bland annat IT-tjänster.
Om du följer personuppgiftslagens regler idag har du en bra grund. Men många av kraven blir skarpare och tydligare med GDPR. Till exempel är det högre krav på att samtycke ska föregås av information för att vara giltig grund för behandling.
Vad är en personuppgift?
Personuppgifter är det som kan identifiera en fysisk person – och som företagare hanterar du troligen en del personuppgifter. Exempelvis i samband med att någon lämnar sina kontaktuppgifter, en leverantör skickar uppgifter i ett e-postmeddelande eller anställda lämnar in sin månadsrapport.
Vilken roll har en personuppgiftsansvarig?
Personuppgiftsansvarig är den som bestämmer syftena och medlen för behandling av personuppgifterna, det kan exempelvis vara en myndighet, aktiebolag eller förening. De ska bland annat att ha koll på att de grundläggande principerna för hantering av personuppgifter följs. De ska även ha rutiner för att rapportera säkerhetsincidenter till Datainspektionen.
Hur länge får man lagra personuppgifter?
Ditt företag får inte lagra personuppgifterna längre än nödvändigt. Ditt företag måste också vidta lämpliga tekniska och organisatoriska åtgärder för att det ska finnas ett tillräckligt skydd mot obehörig eller otillåten behandling av personuppgifter. Det måste även finnas rutiner för att personuppgifterna är korrekta och uppdaterade, samt att felaktiga uppgifter rättas eller raderas.
Vilka rutiner måste mitt företag ha för att efterleva GDPR?
Det kommer variera från företag till företag, beroende på verksamheten och mängden personuppgifter som hanteras. All behandling av personuppgifter ska vara laglig, korrekt och ske på ett öppet sätt för den registrerade. Detta innebär bland annat att ditt företag ska ha en laglig grund för sin behandling av uppgifterna, exempelvis efter samtycke från den som får sina uppgifter registrerade, eller att företaget har en rättslig förpliktelse att till exempel lagra uppgifterna.
Vilka ändamål motiverar lagring av personuppgifter?
När ditt företag samlar in personuppgifter ska företaget ange ändamålet för insamlingen och uppgifterna får sedan inte användas för ett ändamål som är oförenligt med det som angivits. Ändamålet kan vara att ditt företag behöver personuppgifterna för att kunna leverera enligt avtalet eller kunna marknadsföra sina varor och tjänster.
Vilka rättigheter har privatpersoner?
Personer som är registrerade ska få information när uppgifterna samlas in eller överförs. De har även rätt att få felaktiga uppgifter rättade, i vissa fall raderade eller behandlingen av uppgifterna begränsad. De kan även invända mot viss behandling av personuppgifterna. Dessutom får de rätt att i vissa fall få ut sina personuppgifter för att kunna föra över dem,så kallad dataportabilitet, och även i vissa fall rätt att bli informerade om personuppgiftsincidenter som dataintrång.
Vad händer för den som bryter mot reglerna i GDPR?
Företag som bryter mot reglerna riskerar upp till 20 miljoner euro eller 4 procent av den globala omsättningen i administrativ sanktionsavgift. Enskilda personer kan även begära skadestånd från företag som behandlat deras personuppgifter fel. Att följa reglerna är också ett sätt att visa att företaget skyddar de som har med företaget att göra och att inte uppgifterna används för att skada någon.