Den 25 maj 2018 träder EUs nya dataskyddsregler i kraft – GDPR (General Data Protection Regulation). I allt väsentligt är regleringarna desamma som redan gäller i personuppgiftslagen. Här får du veta vad de nya reglerna innebär.
Grundinställningen i GDPR är ett företag inte kan äga en uppgift om en person, utan bara låna den. För att det ska vara tillåtet måste företaget ha inventerat vilka uppgifter som lagras och bearbetas, samt skälen till detta. I nästan samtliga fall kommer giltiga skäl att vara att personuppgifterna krävs för att kunna uppfylla en tjänst som kunden köpt, eller för att andra lagar kräver det.
Den största skillnaden är att de som inte följer lagen kommer att kunna straffas med höga böter, upp till det högsta av 4 procent av omsättningen och ca 200 miljoner kronor. För de som inte redan vet att de med säkerhet följer den nuvarande lagen är det hög tid att åtgärda det.
I fortsättningen kommer även email och pappersdokument omfattas av regler om personuppgifter. Några av de andra nyheterna är att kunder kan begära automatisk överföring av information till andra leverantörer. Det gäller dock enbart information de själva matat in i systemen.
Ibland sägs att olika regelverk står i strid med varandra. Det stämmer dock inte utan GDPR är underordnad andra lagar. Exempelvis ställer GDPR krav på att den som registrerat personuppgifter ska radera dem på kundens begäran. Men å andra sidan ställer andra lagar oftast krav på att uppgifterna ska sparas och då vinner de. Det kan gälla att försäkringsförmedlingslagen ställer krav på lagring av rådgivningsdokumentation eller att penningtvättslagen kräver att transaktionsinformation sparas upp till tio år efter transaktionen. Det svåra är således inte att radera information, utan att veta vad som inte ska raderas.
Ytterligare en nyhet är att om någon obehörig kommit åt personuppgifter genom att exempelvis hacka sig in i ett IT-system, ska det finnas rutiner som upptäcker det. I vissa fall ska också de personer som kan ha drabbats underrättas om det och underrätta Datainspektionen inom 72 timmar. Det kommer med andra ord att bli mer synligt vilket företag som inte sköter sin säkerhet tillräckligt väl.
Fram till den 25 maj är det minsta som måste göras att ha inventerat vilka personuppgifter som lagras och hanteras, samt att fatta beslut om vilka regler som ska gälla avseende dessa.
Daniel Eriksson
Chefsjurist på Hjerta
This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.
Strictly Necessary Cookie should be enabled at all times so that we can save your preferences for cookie settings.
If you disable this cookie, we will not be able to save your preferences. This means that every time you visit this website you will need to enable or disable cookies again.
