Lisa Bjerre / 13.02.2018

Så blir ditt företag redo för GDPR

Den digitala utvecklingen gör att företag samlar in allt fler uppgifter om sina kunder. Nu ska EU:s lagstiftning komma ikapp. I maj träder en ny dataskyddsförordning i kraft, GDPR.

– Det gäller att företag får grepp om sin personuppgiftshantering och skyddar uppgifterna, säger Agneta Runmarker, jurist vid Datainspektionen.

I Sverige har vi redan ett ganska starkt skydd för individens integritet i form av PUL, personuppgiftslagen. Men nu ska skyddet stärkas ytterligare och den nya lagen blir vassare. För den som bryter mot dataskyddsförordningen väntar böter på upp till 4 procent av årsomsättningen, som mest 20 miljoner euro.

– Man stärker enskildas rättigheter, och det innebär naturligtvis strängare regler för de som hanterar uppgifterna, konstaterar Agneta Runmarker.

Samma regler överallt

En viktig förändring när förordningen träder i kraft 25 maj är att lagstiftningen nu gäller fullt ut på alla personuppgifter som ett företag hanterar. Tidigare fanns ett undantag för uppgifter som inte fanns i ett regelrätt register, då gällde inte alla regler. Nu spelar det ingen roll om uppgifterna lagras i ett Word-dokument, i ett kalkylark eller i en databas – samma regler gäller överallt.

– Det betyder att du inte bör ha känslig information liggande i din e-post utan flytta över det till ett säkrare system om du behöver bevara uppgifterna, säger Agneta Runmarker.

För att inte riskera böter behöver alla företag förbereda sig för den nya lagen. En bra första åtgärd är att se över vilka personuppgifter man faktiskt samlar in. Det är mycket som räknas som en personuppgift: postadresser, fotografier, ip-adresser, röstinspelningar – alla uppgifter som kan användas för att identifiera en fysisk person som är i livet.

Det är också viktigt att dokumentera allt man gör för att förbereda sig inför lagförändringen. För man behöver inte bara följa lagstiftningen, man behöver också dokumentera och kunna visa att man följer den.

Vilka uppgifter får man då spara? Generellt bör man utgå ifrån syftet: vad ska vi använda uppgifterna till, och vilka uppgifter behöver vi för att uppfylla de ändamålet? Idag samlar många företag in fler uppgifter än vad som egentligen är nödvändigt.

– Ska ni leverera en vara behöver ni adress, men inte personnummer. Säljer ni en vara på kredit kan det däremot vara motiverat att begära personnummer. Håll er till ändamålet och ta in en lagom mängd uppgifter för att uppfylla det i förväg bestämda ändamålet, råder Agneta Runmarker.

Vill man spara fler uppgifter än vad som behövs för att leverera sin vara eller tjänst måste man begära samtycke från den det gäller. I vissa fall kan man få behandla personuppgifter efter en intresseavvägning, det vill säga man väger företagets intresse att hantera uppgiften mot den enskildes intresse av att få ha sina personuppgifter i fred.

– Om företaget till exempel vill spara personuppgifter för att kunna uppvakta kunden på födelsedagen, eller veta vad de ska bjuda på för lunch, så behövs samtycke, förklarar Agneta Runmarker.

Samtycke innebär att personen ifråga aktivt ska ha godkänt att uppgifterna sparas. Företag måste då informera både om vilka uppgifter som sparas, och hur de ska användas.

Känsliga uppgifter

Lagen är extra hård för vad som kallas känsliga uppgifter – sådant som berör hälsa, religion, politiska åsikter och etniskt ursprung. Att till exempel spara en notering om en kunds allergi för att slippa fråga igen nästa gång hon är med på en konferens, räknas som en känslig uppgift.

Karin Berggren, jurist på Företagarna, råder företag att undvika att spara känsliga uppgifter om de inte absolut måste.

– Annars får man många extra krav på sig, säger hon. 

Många företag behöver även se över sin IT-säkerhet inför att den nya förordningen träder i kraft. För det finns konsekvenser för den som blir bestulen på personuppgifter. En sådan läcka måste rapporteras till Datainspektionen. Innebär dataintrånget en risk för de individer vars uppgifter har läckt ut, måste även de personerna informeras, så att de har en chans att skydda sig genom att till exempel byta sina lösenord.

– Händer något har man bara 72 timmar på sig att anmäla till oss från det att läckan upptäcks. Man behöver ha en rutin för det, säger Agneta Runmarker på Datainspektionen.

Det finns också en begränsning av hur länge företag får lagra personuppgifter. Om en person inte längre är kund ska företaget normalt ta bort uppgifterna ur kundregistret inom ett år.

– Har du lämnat en garanti kan det motivera att ha kvar uppgifterna längre. Och de uppgifter som behövs för bokföringen får vara kvar. Men man får bara spara de uppgifter som man faktiskt behöver och man får inte fortsätta behandla dem i det aktiva kundregistret, säger Agneta Runmarker.

Vad kan du säga till de som tycker att det här verkar krångligt?

– Ett riktmärke kan vara att utgå från sig själv, och fundera på om du skulle tycka att det var berättigat att dina personuppgifter behandlades på det sätt som ni planerar, säger Agneta Runmarker.

Lisa Bjerre

Lisa Bjerre är en erfaren journalist som har skrivit om digitalisering, IT och ekonomi sedan slutet av 90-talet för en rad svenska medier.