Dataskyddsförordningen – här är det viktigaste

TEXT: Linda Swartz

Den 25 maj nästa år börjar dataskyddsförordningen gälla i hela EU. Förordningen innebär en hel del nyheter som kommer att påverka de flesta aktörer inom den grafiska branschen. Vi bad affärsjuristen Sofia Edvardsen peka ut några av de viktigaste nyheterna och berätta varför det är dags att se över sitt företags personuppgiftshantering redan nu.

Frågan om enskilda personers integritetsskydd är högaktuell. Inte minst har sommarens avslöjande om Transportstyrelsens hantering av personuppgifter satt fokus på frågan om dataskydd. För företag är den här hanteringen ofta en avgörande del av verksamheten och en förutsättning för lönsamhet.

– Företag som tydligt kan förklara vilka fördelar de har av att lagra och hantera personuppgifter är de som kommer att få ett stort förtroende från befintliga kunder och framtida kunder. Företag som däremot är otydliga upplevs som otrygga och får svårt att leva upp till kundernas förväntningar, säger Sofia Edvardsen, managing partner vid den affärsjuridiska byrån Sharp Cookie Advisors.
Hon har lång erfarenhet som affärsjuridisk rådgivare till företag i olika branscher och av olika storlek. Ett av de områden hon jobbar med är dataskydd och hantering av personuppgifter.

Senast det kom ny omfattande lagstiftning på området var 1995, då EUs dataskyddsdirektiv gav upphov till den svenska personuppgiftslagen, PUL. Sedan dess har mycket hänt inom digital teknik och en revidering har blivit nödvändig. Dessutom finns en politisk strävan från EUs ledning mot att unionen ska bli världens starkaste digitala ekonomi.

– Då är en av de viktigaste strategiska punkterna att data måste kunna flöda fritt med bibehållen respekt för medborgarnas integritet, och företagens villkor på det området måste vara likvärdiga i hela EU.

Till skillnad från PUL är den nya dataskyddsförordningen syftesbaserad. Förordningen har ett mål, skydd av individen och ett fritt flöde av data, men säger inte exakt hur man ska göra för att leva upp till lagen.

– Efter att företaget har uppfyllt minimikraven, finns det inget som säger vad som är "good enough" och det går som regel inte att få förhandsbesked från Datainspektionen. Du som företagare bestämmer själv hur ambitiös du vill vara i förhållande till vad som är relevant för din bransch, vilka branschregler som gäller, vad dina kunder och partner förväntar sig och så vidare, säger Sofia Edvardsen.

- Alla som hanterar personuppgifter har enligt PUL noteringsskyldighet, det vill säga skyldighet att i förväg meddela Datainspektionen. Nu ersätter ansvarsskyldighet noteringsskyldigheten.

– Företag och organisationer ska kunna visa hur de arbetar för att säkerställa att lagen följs: Att de använder personuppgifter som är relevanta för ändamålet, att de använder tekniska säkerhetsåtgärder för att begränsa åtkomst och spridning av personuppgifter och risken för säkerhetsincidenter. Vidare behöver de kunna visa att de kvalitetsstyr underleverantörer genom att ha korrekta avtal på plats, att de ser till att de efterlevs och vad företagets ska göra vid en eventuell incident.

Företagen i den grafiska branschen får ofta rollen som "personuppgiftsbiträden", det vill säga att de hanterar personuppgifter som någon annan – kunden – har samlat in och på dennes uppdrag.
– Därför är det jätteviktigt att era avtal med kunden innehåller ett separat personuppgiftsbiträdesavtal. Ni måste också förstärka sekretessavsnittet i anställningsavtalen med dem på företaget som hanterar kunders personuppgifter.

För uppgifter som företaget självt samlar in gäller det ännu tydligare än tidigare att informera om hur företaget tänker behandla personuppgifter, att skaffa giltigt samtycke och att bara behandla relevanta uppgifter under begränsad tid.

- För mycket information och felaktig information kostar att hantera i administration och investering i säkerhetsåtgärder. För mycket, eller känslig, onödig information är inte främst en juridisk risk utan en affärsmässig, säger Sofia Edvardsen.

Enligt henne är det naturligtvis nödvändigt att förändra sina rutiner så att man följer lagen, men ytterligare ett skäl är att det också är ett tillfälle att vässa de egna kundkontakterna. Med rätt uppgifter, rätt använda, blir sälj och marknad ett mer väloljat maskineri.

– Har du koll på dina uppgifter kan du få en bild av verksamheten och förstå din kundbas. Därmed uppnår du bättre styrning av verksamheten.

Publicerad i Print & Packaging nr. 3 2017

Vad är nytt i Dataskyddsförordningen?

EUs dataskyddsförordning är även känd under förkortningen GDPR (General Data Protection Regulation). Att den är just en förordning innebär att den gäller som svensk lag direkt från införandet, som sker den 25 maj 2018. GDPR innehåller en del nyheter jämfört med den svenska personuppgiftslagen som den ersätter. Några av de viktigaste skillnaderna är:

  • Högre krav på hur samtyckesavtalet med enskilda utformas.
  • Tydligare regler om att du som företagare måste informera om hur du använder personuppgifter.
  • Högre krav på när och hur uppgifter ska raderas.
  • Krav på att rapportera dataintrång till Datainspektionen inom 72 timmar.
  • Krav på att dataportabilitet, det vill säga att den registrerade ska kunna få ut sina uppgifter i standardformat och flytta dessa till en annan tjänst.
  • Sanktionsavgifter införs som kan bli kännbara: det högre beloppet av antingen fyra procent av koncernens globala omsättning det senaste året eller 20 miljoner euro.
  • Den så kallade missbruksregeln försvinner. Den innebar att behandling av uppgifter i löpande text, e-post, intranät, hemsidor och enkla listor var okej så länge det inte var kränkande. Förordningen gäller alla företag, myndigheter och organisationer, oavsett storlek, som hanterar personuppgifter.

Källa: Datainspektionen, Svenskt Näringsliv