Film: Frågor och svar om GDPR

Agneta, jurist på Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, intervjuad av Tillväxtverkets kommunikatör Anna.

Vad är GDPR egentligen? Vem är ansvarig? Och krävs det samtycke från kunder och anställda för att behandla deras personuppgifter? Det och mycket mer ger Integritetsskyddsmyndigheten, IMY, tidigare Datainspektionen svar på i den här 10 minuter långa filmen om GDPR. (Längd: 10:51 minuter.)

Ta del av filmen Frågor och svar om GDPR i textformat

Den 25 maj 2018 började dataskyddsförordningen (GDPR) att gälla i Sverige och övriga EU. En nyhet är att Datainspektionen kan besluta att ett företag som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift, vilket är en form av böter.

Sanktionsavgiften kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Beloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. 

Risken för kännbara böter har gjort att många företag nu börjar se över hur de samlar in och hanterar personuppgifter. Faktum är dock att det i Sverige även tidigare funnits lagstiftning, i form av personuppgiftslagen, som reglerar och begränsar hur företag får använda personuppgifter.

För mer information om vad tillsynen kan leda till hos Integritetsskyddsmyndigheten (IMY)

Korrekta personuppgifter skapar trygghet och ordning och reda

Förutom risken för böter om du hanterar personuppgifter i strid med lagen, varför ska ditt företag över huvud taget bry sig om hur det hanterar personuppgifter? 

Genom att bara ha korrekta och relevanta uppgifter om befintliga kunder i kundregistret behöver du som företagare inte känna någon tveksamhet eller oro över att uppgifterna i registret inte är tillförlitliga.

Alla företag, oavsett verksamhet, gynnas av att ha ordning och reda på sin produktion, sina kundkontakter, sin bokföring och sitt sätt att hantera personuppgifter. En av grundprinciperna i dataskyddsförordningen är att man enbart ska samla in personuppgifter för ett visst, i förväg bestämt syfte, som exempelvis för att kunna sköta avtal, leverans och fakturering till sina kunder. Du får enbart samla in de uppgifter som behövs för att uppfylla det bestämda syftet och uppgifterna ska bara sparas så länge det är nödvändigt.

Skydda uppgifterna mot stöld och obehöriga

En annan viktig princip i förordningen är att de personuppgifter som du har i företaget ska skyddas så att de inte stjäls, oavsiktligt raderas eller att någon obehörig kommer åt dem. Uppgifter om ditt företags kunder, leverantörer och anställda är så klart viktiga ur ett konkurrenshänseende. Du vill förmodligen undvika att någon konkurrent ska komma åt uppgifter om dina kunder.

Det har förekommit att hackare kommit över mängder av personuppgifter och då ofta kreditkortsuppgifter. Oavsett storlek kan företag som tappar kontroll över uppgifter om exempelvis sina kunder räkna med kostnader i badwill, inte minst från de personer som lämnat sina uppgifter till företaget i tro om att de ska hanteras på ett ansvarsfullt och lagligt sätt.

Konkurrensfördel att följa reglerna

I flera branscher har uppförandekoder och certifieringar blivit ett sätt för företag att visa att de exempelvis bedriver sin verksamhet på ett etiskt, socialt eller miljömässigt sätt. För många företag har det blivit en konkurrensfördel att uppfylla en viss uppförandekod eller inneha en viss certifiering.

Uppförandekoder är något som uppmuntras i dataskyddsförordningen. Genom att i framtiden ansluta ditt företag till en uppförandekod som rör hur personuppgifter hanteras, kan kunder och leverantörer känna sig trygga med hur du hanterar deras uppgifter, något som kan bli en konkurrensfördel.

På samma sätt som dåligt skyddade personuppgifter kan ge ditt företag kostnader i badwill, kan du räkna med goodwill om du på ett bra och tydligt sätt kan visa att du följer reglerna i dataskyddsförordningen.

Samma regler i hela EU gör det enklare för dig som företagare

En av tankarna med dataskyddsförordningen är att se till att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta gör det enklare för företag att expandera och verka i flera EU-länder. Ett svenskt företag som följer dataskyddsförordningen behöver alltså inte bekymra sig för att reglerna för hur uppgifter om exempelvis kunder får hanteras är annorlunda i något annat EU-land. Har du ordning på hur personuppgifter hanteras i ditt företag nu så är du förberedd för en framtida expansion.