Vad är egentligen en personuppgift och hur vet jag om den nya dataskyddsförordningen påverkar mig? William Myntti, juridisk konsult på HandelsJuristerna, förklarar några centrala saker som du som företagare bör ha koll på.
Häromdagen fick jag ett telefonsamtal på vägen hem. En jättetrevlig säljare tilltalade mig vid förnamn och försökte övertyga mig att produkten han sålde var det bästa konceptet i världen. Under samtalets gång informerade han mig att hans företag just nu hade en kampanj i det området där jag bodde och det var därför han ringde just mig. Den förklaringen har vi ju alla hört förut. Yrkesskadad som jag är så började jag naturligtvis nysta lite i det försäljaren sa och fick snart reda på att han spelade in mitt samtal. Men stopp och belägg, har jag samtyckt till det? Sparar ni dessa samtal? Vad används de till? Den stackars killen i andra änden hade inte alla svaren så jag fick prata med hans chef. Nej, vi behöver inget samtycke, var svaret jag fick, vi hanterar ju inga personuppgifter! Så de hade mitt namn, telefonnummer, och adress men tyckte ändå inte att dessa var personuppgifter… då insåg jag att det var dags att reda ut begreppet!
KOLL PÅ BEGREPPEN – PUL ELLER GDPR?
I skrivande stund är det personuppgiftslagen (PUL) som reglerar hur man bör hantera personuppgifter i sin verksamhet. Den 25 maj i år blir det dock nya tongångar när EU:s nya dataskyddsförordning, också känd som GDPR (General Data Protection Regulation), träder i kraft. Den kommer att gälla som lag i Sverige och kommer att ersätta nuvarande PUL. Den största skillnaden blir att GDPR kommer att ställa högre krav på personuppgiftshanteringen hos företag och för de som inte följer det nya regelverket väntar mycket hårda sanktioner jämfört med de straff som idag följer av PUL.
PERSONUPPGIFT ELLER INTE?
Så vad menas egentligen med begreppet personuppgift, och kanske av ännu större vikt, vad är en personuppgift enligt GDPR? Som tumregel kan man säga att all slags information som kan knytas till en levande fysisk person är en personuppgift. Typiska exempel som man brukar ge är namn, personnummer och adresser. Men även ljudinspelningar, filmer, fotografier, IP-adresser och liknande kan utgöra personuppgifter om de går att koppla till en specifik person. Telefonsamtalet som spelades in var alltså att betrakta som en personuppgift i sig och med tanke på att företaget dessutom hade mitt namn, telefonnummer och visste var jag bor så hade uppgifterna med lätthet gått att knyta till mig. Detta kände alltså inte det här företaget till, vilket leder till frågan om de verkligen vet vad det kan innebära att inte följa EU:s nya regelverk. Var det någon som sa tio miljoner Euro i böter?*
*Möjligt bötesbelopp vid överträdelse av förordningen.
VAD INNEBÄR GDPR FÖR DIG SOM FÖRETAGARE?
Hjälp! Tydligen hanterar jag en massa personuppgifter i min verksamhet, vad gör jag nu? GDPR kan verka som en stor och tung ny lagstiftning att ta sig an, och dessutom något som hotar med höga böter om man råkar göra fel. Det är faktiskt inte fullt så farligt som man kanske tror. Med några enkla principändringar är det möjligt att anpassa sin verksamhet så att den följer GDPR och sedan kan man glömma allt som har med böter att göra.
Informera mera: Personen vars uppgifter man samlar in har alltid rätt till information om att uppgifter samlas in, vilka uppgifter som samlas in och vad uppgifterna ska användas till. Man måste ha en laglig grund för att få samla in uppgifterna.
Lagra mindre: Om de insamlade uppgifterna inte längre behövs så får de inte heller sparas. Vissa uppgifter kan man dock behöva ha kvar och med rättslig grund är det inga problem, exempelvis av skatterättsliga skäl. Viktigt är att allt oväsentligt måste tas bort. Lagra så lite som möjligt och så kort tid som möjligt!
Dokumentera mera: Den som samlar in personuppgifter har en skyldighet att föra ett register över dessa, där det bland annat ska anges vilka uppgifter som behandlas, varför de behandlas samt till vilket syfte och med vilken laglig grund som behandlingen utförs.
Sprid mindre: Tänk på att GDPR främst vill att företag värnar om den personliga integriteten hos den enskilda. Kontrollera vilka personer på företaget som har tillgång till vilken information och överväg om åtkomsten kan anpassas så att färre personuppgifter riskerar att hamna i fel händer.
”DETTA ÄR KOMPLICERAT, DET FINNS INGEN JAG KAN VÄNDA MIG TILL”
Att förstå dataskyddsförordningen kan vara knepigt och med hotet om så pass stora sanktioner är det inte många som vågar ta risken att anpassa sin personuppgiftshantering själva. På HandelsJuristerna har vi ägnat mycket av det senaste året till att tolka, förstå och informera om GDPR. Vi har hjälpt en uppsjö av företag med deras personuppgiftshantering och står gärna till tjänst för dig och ditt företag! Vi erbjuder föredrag, utbildningar och kan även hjälpa dig att upprätta en egen personuppgiftspolicy. Kika gärna in på vår hemsida och hör av dig till oss så berättar vi mer!
// William Myntti, juridisk konsult på HandelsJuristerna
