Foto: iStock

Så slipper du saftiga böter

Publicerad: 22 december 2017 Text: Charlotta von Schultz

Skyhöga böter hotar företag som schabblar med ­personuppgifter när GDPR införs i vår. Här är åtta punkter du behöver ha koll på.

Den 25 maj 2018 går personuppgifts­lagen PUL i graven och ersätts av en ny dataskyddsförordning, GDPR. Varför ska du bry dig? Därför att alla företag berörs av de nya reglerna. Och för att saftiga sanktionsavgifter införs för de som missköter sig. VVS-Forum tar hjälp av Nina Burman Lundin, arbetsrätts­jurist på Installatörsföretagen, för att reda ut de viktigaste punkterna.

1 Hjälp! Var ska jag börja?
Följer du redan PUL finns det knappast anledning till panik. Då har du kommit en god bit på väg. Men se till att skaffa dig koll på läget i god tid före 25 maj. Vilka personuppgifter hanterar företaget? Vad använder ni dem till? Behövs verkligen alla uppgifter? Och hur länge i så fall?
   Gör sedan en riskbedömning. Hanteras känsliga personuppgifter? Eller stora mängder uppgifter? Börja med att se över hanteringen av dessa.
   Efter 25 maj måste du kunna visa att du följer GDPR. De flesta företag behöver därför ha ett så kallat behandlingsregister, som visar hur personuppgifter hanteras.

2 Personliga rättigheter
Syftet med GDPR är att stärka skyddet av den personliga integriteten. Alla individer har rätt att få detaljerad information om hur deras insamlade personuppgifter kommer att behandlas. Och vad syftet är. De som registreras har sedan rätt att få ett utdrag av sina egna uppgifter, och att få felaktigheter rättade. Dessutom gäller "rätten att bli bortglömd", alltså att få sina personuppgifter raderade. Utan dröjsmål.
   Fast den rätten har undantag. Du får exempelvis spara uppgifter som visar att en rekrytering har gått rätt till enligt diskrimineringslagstiftningen.

3 Samtycke – eller inte?
Att samtycke krävs för att behandla personuppgifter är en huvudregel redan under PUL. GDPR skärper kraven. Samtycket ska vara klart, tydligt och avskilt från andra frågor. ”Tvingande” samtycken går bort — det duger inte att baka in medgivandet i ett avtal längre. Även ändamålet ska framgå tydligt. Att backa från sitt samtycke ska dessutom vara lika lätt som att ge det.
   Krävs samtycke i alla lägen? Nix. Personuppgifter får exempelvis behandlas utan samtycke om det krävs för att fullfölja ett avtal. Att lagra anställdas bankkontonummer för att betala ut lön går fint. Likaså att lagra kunders adresser för att kunna utföra ett avtalat arbete. I sådana lägen är det smartast att INTE söka samtycke.

4 Missa inte mejlen
I mejllådan kan alla möjliga personupp­gifter finnas, som namn, telefonnummer
– och mejl­adresser. På webbsidor likaså. Det är inga problem enligt PUL, som gör undantag för ostrukturerat material. GDPR omfattar där­emot både mejl och webbsidor.
   Dessvärre saknas än så länge riktlinjer för hur mejl ska hanteras i praktiken när GDPR införs. För webbsajter finns ett relativt lätt sätt att kringgå den nya förordningen. Du behöver bara ansöka om ett utgivningsbevis hos myndigheten för press, radio och tv. Då gäller yttrandefrihetsgrundlagen i stället.

5 Larma snabbt när data läcker
Dataintrång blir allt vanligare. ­Personuppgifter kan även läcka ut när någon anställd tappar mobiltelefonen, blir bestulen på datorn eller slarvar med datahanteringen. I sådana lägen ställs helt nya krav på ­företaget.
   Incidenter där personuppgifter riskerar att hamna i orätta händer ska rapporteras till Datainspektionen. Och det ska ske snabbt – inom 72 timmar efter det att missödet har upptäcks. I vissa fall måste du även informera de personer som uppgifterna handlar om. Se därför till att ha tydliga rutiner för hur dataläckage ska hanteras.

6 Rensa, rensa, rensa
En uppgift om en person får bara sparas när den är korrekt och nödvändig för det ändamål du har uppgivit vid insamlingen. Sedan ska den rensas bort.
   Var exempelvis uppmärksam när det sker omorganisationer hos kunder, leverantörer och samarbetspartner.
   Har dina kontaktpersoner fått nya roller? I många fall måste uppgifterna rensas bort, eller så kanske du måste be om ett nytt samtycke.

7 Saftiga ­sanktioner
Att bryta mot GDPR-reglerna kan svida rejält. Den största nyheten är en "administrativ sanktionsavgift" på upp till 20 miljoner euro eller 4 procent av företagets årsomsättning. Och det är den globala omsättningen på koncernnivå som räknas, vilket kan bli kännbart för ett litet, svenskt dotterbolag till en internationell storkoncern.

8 Vad räknas?
Personuppgifter är alla uppgifter som handlar om oss som individer. Förutom namn, adress och personnummer kan det vara fotografier, datorers IP-nummer och bilars registreringsnummer. Har din leverantör eller kund enskild firma? Då är ­firmans organisationsnummer faktiskt en personuppgift: personnumret.
   GPDR klassar liksom PUL vissa uppgifter som känsliga, och de ska hanteras därefter. Att samla in facklig tillhörighet kan exempelvis behövas inför en löneförhandling. Men när förhandlingen är avslutad ska uppgiften rensas bort.
   Tänk även till när du ordnar evenemang. Att fråga gästerna om matpreferenser och allergier i anmälningsformuläret kan vara smidigt. Men sådan information kan skvallra om såväl religion som hälsa och måste rensas bort snarast när evenemanget är över.

Fakta/GDPR
> EU-förordningen GPDR uttyds General Data ­Protection Regulation.
> Ersätter personuppgifts­lagen, PUL.
> Införs 25 maj 2018 i Sverige och resten av EU.
> Mer information hittar du på data­inspektionen.se.
> Installatörsföretagen anordnar informations­träffar under våren.

Fler nyheter