Vad är GDPR och varför finns den här lagen?

GDPR är en dataskyddslagstiftning. I Sverige har vi ju tidigare haft personuppgiftslagen (PUL), men nu kommer GDPR som börjar gälla direkt som lag i samtliga EU-länder. Alla som verkar på den inre marknaden ska följa GDPR. Och syftet med lagen – förutom att göra det enklare för företagen – är att stärka enskildas rättigheter.

Berörs alla företag av GDPR, oavsett företagsform, storlek, bransch eller omsättning?

Ja, nästan alla företag hanterar ju personuppgifter på något sätt i en dator. Så det räcker att du e-postar eller har ett kundregister så omfattas du av den här regleringen.

Får man böter om man inte följer lagen?

Ja, EU har infört höga administrativa sanktionsavgifter. Men det viktigaste är nog att man som företagare annars riskerar att tappa kundernas förtroende. Lämnar jag personuppgifter till dig, då ska jag veta vad du gör med dem och att du håller dig till det ändamålet.

Vad är en personuppgift?

Det kan vara ett namn, personnummer, en bild eller allt som kan kopplas till en fysisk person som är i livet. Till exempel ett registreringsnummer till en bil, om det är din bil. Ett användar-ID till en dator. En röst, när du hör vem det är som pratar. Eller om du och jag står här och pratar, så att andra förstår vem det är vi pratar om. Så det är väldigt långtgående. Men är det en firmabil så är det kanske inte en personuppgift.

Vem är ansvarig för hanteringen av personuppgifter i ett företag? Är det företagets vd?

Nej, normalt är det bolaget, alltså den juridiska personen. Den ansvariga är den som bestämmer ändamålet och medlen för behandlingen av uppgifterna. Då är det ofta en myndighet, en kommunal nämnd eller idrottsföreningen. När vi pratar om enskilda firmor är ju företaget och personen en och samma sak. Då är det faktiskt en fysisk person som är ansvarig. Eller om du som privatperson bloggar eller skriver något på Facebook – då är det du som ansvarar för det du lägger upp.

Säg att ett företag lägger ut driften på en IT-entreprenör – vem är det då som blir ansvarig för personuppgifterna?

Man kan aldrig avtala bort sitt eget personuppgiftsansvar. Men den som behandlar personuppgifter åt dig, alltså IT-leverantören, har också ett ansvar. Men du är alltid själv personuppgiftsansvarig gentemot den registrerade. Det innebär att du också måste teckna ett skriftligt avtal med IT-leverantören, ett så kallat biträdesavtal, där du försäkrar dig om att de hanterar uppgifter på ett korrekt sätt.

På vilka grunder får man hantera personuppgifter? Säg att du är kund och köper någonting i ett företag. Klassas köpet då som ett avtal eller måste man inhämta samtycke på något annat sätt?

Om jag ska leverera en vara och du ska betala mig, så är det ett avtal oss emellan. Då behöver man inte inhämta samtycken särskilt för det, utan jag får hantera de uppgifter jag behöver för att kunna leverera varorna och få betalt och så vidare. Men om jag vill göra något mer med uppgifterna – bevara dem, skicka reklam, vara med i någon kundklubb eller göra någonting mer – så kan jag behöva ett samtycke av kunden. Du får behålla kunduppgifter som bokföringsunderlag, du kanske har ett garantiåtagande gentemot kunden, eller för marknadsföringsändamål. Men säger kunden att jag vill bort ur ditt register, så måste du radera uppgifterna.

Måste man informera kunden om att man hanterar personuppgifter, även om det är ett köp i botten, så att säga?

Ja, man måste alltid informera kunden och det är väldigt lämpligt att göra det då när man träffar kunden förstås. Det är ganska omfattande regler, men ett minimum är att man talar om vem man är och varför man behandlar uppgifterna och för vilket syfte.

Säg att ett företag har en webbshop där de registrerar personuppgifter. Kan då företaget informera om att de hanterar personuppgifter redan i själva köpvillkoren?

Ja, det är lämpligt när man har kunden där att använda den situationen för att informera om personuppgiftsbehandlingen. Men, det finns ofta mycket villkor. Det är köpvillkor och personuppgiftsvillkor och vi rekommenderar att man särskiljer detta så kunden blir lite observant på att detta gällde personuppgiftsbehandling. En annan rekommendation är att om man ska inhämta samtycke till någonting mer, då ser man till att kunden klickar i en liten ruta, så att man vet och kan bevisa att jag har lämnat den här informationen och kunden har accepterat.

Men säg att företaget har uppgifter om kontaktpersoner i ett kundregister. Måste man då kontakta de här personerna och hämta in samtycke från dem?

Nej, det behöver du inte göra. Här är den rättsliga grunden en intresseavvägning. Man ser vad företaget har för behov att behandla uppgifterna och vad ändamålet är och så jämför man med hur stort intrång det är om du behandlar uppgifterna om dem. Det är inte särskilt stort i det här fallet, så därför får du behandla uppgifterna av bara en ren intresseavvägning. Men i vanlig ordning måste du informera.

Hur är det då med anställda i ett företag? Måste de skriva på någonting för att godkänna att företaget har dem i sina register?

Nej, för personuppgiftsbehandlingen behövs det inte. Det är ju ett avtal som ligger till grund för det hela och med anställningsavtalet så följer också rätten – och skyldigheten – att behandla personuppgifter om de anställda. Du ska ju betala ut lönerna och du kanske måste meddela Skatteverket vilka löner du har betalat ut. Så det är egentligen både avtal och en rättslig förpliktelse för företaget att hantera de här uppgifterna.

Slutligen, vad skulle du säga är det viktigaste som företag bör tänka på för att följa GDPR?

Ja, det finns mycket att tänka på och allt beror också på hur mycket uppgifter du hanterar och hur känslig information du hanterar. Men om man ska säga några saker som alla behöver tänka på så är det:

1. Bestäm ett ändamål med personuppgifterna – det ska vara berättigat och specifikt – och håll dig till det ändamålet! Samla bara in sådana uppgifter som du behöver för att fullgöra det ändamålet och bevara inte uppgifterna längre än vad du behöver för det.
2. Informera! Se över dina informationsregler och att du uppfyller dem, för det är ganska många saker man måste informera om.
3. Skydda uppgifterna från obehörig åtkomst! Det beror naturligtvis på känslighetsnivån. Ju känsligare information desto mer behöver den skyddas. Sedan ska ju inte fler på företaget ha tillgång till uppgifterna om anställda och andra än vad de faktiskt behöver för att utföra sina arbetsuppgifter. I slutändan handlar det helt enkelt om förtroendet mellan kunden och företaget. Så det är en varm rekommendation från min sida att ta reda på vad som gäller för just ditt företag.

Gå in på Integritetsskyddsmyndighetens webbplats och på verksamt.se/gdpr och läs mer.