GDPR – det här behöver du tänka på som egenföretagare

Det finns fyra bokstäver som just nu skapar både stress och febril aktivitet hos många företag och organisationer. Det handlar naturligtvis om GDPR. Men är det egentligen så nytt? Och vad behöver du ha koll på för att inte trampa i det dyra klaveret? DIK ger dig här en enkel guide.

Den 25 maj får alla länder inom EU en ny gemensam lagstiftning som reglerar hur bland annat företag får behandla personuppgifter. Den nya dataskyddsförordningen heter General Data Protection Regulation och förkortas GDPR . I Sverige har vi haft en sådan lagstiftning ända sedan 1973 då datalagen trädde i kraft, och redan idag reglerar personuppgiftslagen (PUL) hur vi får hantera personuppgifter.

En nyhet för GDPR är dock de höga sanktionsavgifter som man måste betala om man bryter mot reglerna på upp till 20 miljoner eller 4 procent av den globala årsomsättningen. Det har fått många företag och organisationer att fundera över hur de hanterar och skyddar personuppgifter. Behandlar du uppgifter åt andra företag? Det här gäller dig också.

Varför krångla till det?

Även om den nya dataskyddsförordningen kan upplevas som krånglig och stram så har den ett viktigt syfte – att vi som medborgare ska få mer kontroll över våra uppgifter. Bristen på förtroende för de gamla dataskyddsreglerna höll tillbaka den digitala ekonomin och det nya systemet är tänkt att hålla nere kostnaderna och skapa tillväxt. För näringslivet blir det en fördel att en uppsättning regler gäller för alla företag som är verksamma i EU, var de än finns.

Personuppgifter

Men vad innebär egentligen denna nya förordning i praktiken? Här kommer en enkel guide till vad du behöver göra och ha koll på innan den 25 maj. Först och främst, vad räknas som personuppgifter egentligen? Jo: all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Exempelvis:

  • Namn
  • Adress
  • Personnummer
  • Plats
  • Online-ID
  • Hälsoinformation
  • Inkomst
  • Foton

Även ljudinspelningar som lagras elektroniskt kan vara personuppgifter, även om det inte nämns några namn i inspelningen. Registreringsnumret på en bil kan också vara en personuppgift om det går att knyta till en enskild fysisk person.

Då får du hantera personuppgifter

Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”, säger förordningen. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften. Det finns också några olika rättsliga grunder som företag kan använda för att motivera hantering av personuppgifter

Rättslig förpliktelse
I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.

Avtal
Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter (men bara de uppgifter som behövs för att uppfylla avtalet).

Samtycke
Ett samtycke är enligt förordningen ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.

Alltså: för att kunna ge samtycke måste man få tydlig information om vilka uppgifter som samlas in och vad de ska användas till. Undvik gärna insamling av samtycke så långt det går eftersom personen när som helst har möjlighet att dra tillbaka samtycket och du då omedelbart måste se till att uppgifterna raderas.

Intresseavvägning
Om du kan visa att ditt företags intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv är det okej för dig att hantera deras uppgifter. Det kan gälla exempelvis nyhetsbrev.

Känsliga uppgifter

I dataskyddsförordningen skiljer man mellan ”vanliga” personuppgifter och känsliga personuppgifter. Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter men det finns en rad undantag - till exempel om det finns ett uttryckligt samtycke. Det här är uppgifter som anses vara känsliga:

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter och
  • biometriska uppgifter som entydigt identifierar en person
  • fackligt medlemskap.

Krav på register

En nyhet i GDPR jämfört med PUL är kravet på en förteckning eller ett register över vilka personuppgifter man behandlar, hur länge och för vilket syfte och ändamål till exempel. Små och medelstora företag behöver dock bara föra register om uppgiftsbehandlingen är:

  • regelbunden
  • ett hot mot människors rättigheter och friheter
  • gäller känsliga uppgier eller belastningsregister.

5 viktiga saker att göra:

  1. Innan 25 maj – kartlägg
    För att säkerställa att din verksamhet lever upp till de nya kraven behöver du vidta förberedande åtgärder. Först och främst måste du kartlägga vilken behandling av personuppgifter som sker i verksamheten- och var och när den sker. 

  2. Kommunicera
    Prata klarspråk med personen du samlat in uppgifter om. Berätta vilka uppgifter det handlar om, varför du gör det, ifall du kommer att lämna uppgifterna vidare till andra och i så fall vem som tar emot uppgifterna. Varna också om det finns allvarlig risk för dataintrångsbrott.

  3. Skydda
    Tänk på att skydda personuppgifterna som du hanterar, så att de inte stjäls eller oavsiktligt raderas eller ändras. Ett nytt krav i förordningen är att om ni råkar ut för en ”personuppgiftsincident” så måste ni rapportera det till Datainspektionen. En sådan incident kan till exempel vara ett usb-minne med personuppgifter som tappats bort, ett dataintrång på en av företagets servrar eller att någon anställd obehörigt tagit del av personuppgifter. Ett tips är att se över skyddet av personuppgifterna i era it-system så att incidenter inte inträffar. Använd också extra skydd när det gäller information om hälsa, ras, sexuell läggning, religion och politisk uppfattning.

  4. Ge personer kontroll över sina uppgifter
    Låt personer få tillgång till sina uppgifter och möjligheten att ge dem till ett annat företag. Ge också folk ”rätten att glömmas bort” samt möjlighet att välja bort direkt marknadsföring som använder deras uppgifter. Radera deras personuppgifter om de ber om det, men bara om det inte går ut över yttrandefriheten eller möjligheten att göra efterforskningar.

  5. Spara mindre
    En viktig regel i förordningen är att man inte får spara personuppgifter för länge. När de inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. Det innebär till exempel att uppgifter om personer som inte längre är era kunder (eller leverantörer) måste tas bort från it-systemen. Enligt den nuvarande personuppgiftslagen är praxis att personuppgifter om en tidigare kund får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört. 


Till sist, på sajten verksamt.se finns en guide som hjälper dig med de viktigaste grunderna i förordningen. Gör GDPR-guiden här och kolla om du missat något