Den 25 maj 2018 träder EUs nya dataskyddsregler i kraft – GDPR (General Data Protection Regulation).
I allt väsentligt är regleringarna desamma som redan gäller i personuppgiftslagen. Här får du veta vad de nya reglerna innebär.
Grundinställningen i GDPR är ett företag inte kan äga en uppgift om en person, utan bara låna den. För att det ska vara tillåtet måste företaget ha inventerat vilka uppgifter som lagras och bearbetas, samt skälen till detta. I nästan samtliga fall kommer giltiga skäl att vara att personuppgifterna krävs för att kunna uppfylla en tjänst som kunden köpt, eller för att andra lagar kräver det.
Den största skillnaden är att de som inte följer lagen kommer att kunna straffas med höga böter, upp till det högsta av 4 procent av omsättningen och ca 200 miljoner kronor. För de som inte redan vet att de med säkerhet följer den nuvarande lagen är det hög tid att åtgärda det.
I fortsättningen kommer även email och pappersdokument omfattas av regler om personuppgifter. Några av de andra nyheterna är att kunder kan begära automatisk överföring av information till andra leverantörer. Det gäller dock enbart information de själva matat in i systemen.
Ibland sägs att olika regelverk står i strid med varandra.
Det stämmer dock inte utan GDPR är underordnad andra lagar. Exempelvis ställer GDPR krav på att den som registrerat personuppgifter ska radera dem på kundens begäran. Men å andra sidan ställer andra lagar oftast krav på att uppgifterna ska sparas och då vinner de. Det kan gälla att försäkringsförmedlingslagen ställer krav på lagring av rådgivningsdokumentation eller att penningtvättslagen kräver att transaktionsinformation sparas upp till tio år efter transaktionen. Det svåra är således inte att radera information, utan att veta vad som inte ska raderas.
Ytterligare en nyhet är att om någon obehörig kommit åt personuppgifter genom att exempelvis hacka sig in i ett IT-system, ska det finnas rutiner som upptäcker det. I vissa fall ska också de personer som kan ha drabbats underrättas om det och underrätta Datainspektionen inom 72 timmar. Det kommer med andra ord att bli mer synligt vilket företag som inte sköter sin säkerhet tillräckligt väl.
Fram till den 25 maj är det minsta som måste göras att ha inventerat vilka personuppgifter som lagras och hanteras, samt att fatta beslut om vilka regler som ska gälla avseende dessa.
Daniel Eriksson
Chefsjurist på Hjerta