Regelverk I maj träder EU:s nya dataskyddsförordning i kraft. Och nu är det hög tid att förbereda företaget för den nya lagen. Alla företag, föreningar och organisationer som hanterar personuppgifter berörs nämligen av de nya kraven.Många använder begreppet GDPR – General Data Protection Regulation – som är det engelska namnet på denna förordning. Den träder i kraft 25 maj 2018 och syftet är att skydda privatpersoner utifrån hanteringen av deras personuppgifter. För företag och organisationer betyder det hårdare krav på hur personuppgifter hanteras samtidigt som kunden får större rätt att själv bestämma hur uppgifterna används.– Alla företag som hanterar personuppgifter berörs av detta.Vad är en personuppgift?Som personuppgift räknas all information som kan relateras och härledas till en levande person som gör att personen kan identifieras, antingen direkt eller indirekt. Alltså inte bara personnummer, namn, adress, telefon- och mobilnummer, gatuadress och e-postadress. Det omfattar även sådant som avtalsnummer, IP-adress och registreringsnummer på bilen. Men det kan också vara att spara information om aktiviteter man har gjort med en kund.Kunden har även rätt att bli informerad på ett tydligt och enkelt sätt om hur personuppgifterna används och kan begära kopia på denna information som också ska kunna fås elektroniskt.Lagstiftning kring personuppgifter är egentligen inte något nytt – personuppgiftslagen, PUL, finns redan sedan flera år. Vad är då skillnaden nu?Behovet av en modern lagstiftning, anpassad till den digitala utvecklingen är stort eftersom personuppgifter idag används i ett mer komplext sammanhang. Många av kraven i förordningen gäller redan idag men sanktionsavgifterna är dramatiskt mycket högre och omfattningen av den information som ska ges till kunden är mycket större.Den största skillnaden är att;

• Dataskyddsförordningen omfattar all information, även e-post och annan text i till exempel fritextfält. Dessa personuppgifter omfattades tidigare inte av lagstiftningen i Sverige.En annan stor skillnad är kravet att informera om hur uppgifterna används. En ytterligare förändring är att alla organisationer blir skyldiga att redovisa incidenter till Datainspektionen där personuppgifter hanterats felaktigt.

Fördelar för företaget Dataskyddsförordningen kan också vara något positivt, även för företag. Företag som hanterar det hela rätt kan få ett försprång gentemot konkurrenterna. När kunderna litar på företagen vågar de anförtro mer uppgifter. Och ju mer man vet om sina kunder desto bättre erbjudanden går det att ta fram.Hur följer man den nya lagen?- Börja med att gå igenom företagets processer för att identifiera vilka personuppgifter ni hanterar avseende såväl kunder som medarbetare. Hanteringen ska vara kopplad till ett eller flera ändamål och personuppgifterna ska inte sparas längre än ändamålen kräver eller tillåter.- Nästa steg är att se över hur ni informerar kunder och medarbetare om hur personuppgifter används, på webben, i appar eller i pappersform.- Se över era avtal och samtycken med exempelvis kunder och leverantörer. Hur är dessa formulerade, behöver de anpassas till det nya regelverket?- Slutligen - säkerställ att du kan hantera de rättigheter som varje privatperson har gällande sina personuppgifter, till exempel att få ett registerutdrag, få uppgifter korrigerade eller digitalt kunna flytta personuppgifter till en annan aktör.