GDPR – vad är det och hur kan man förbereda sig?

Sammanfattning om GDPR

Texten nedan är skriven av juristen Anna Ersson från Advokatfirman Delphi.

Den 25 maj 2018 börjar den nya dataskyddsförordningen (GDPR) att gälla. GDPR reglerar behandling av personuppgifter och kommer ersätta den svenska personuppgiftslagen (PuL) och motsvarande lagar i hela EU. Syftet med GDPR är bl.a. att stärka individers integritetsskydd och att öka den fria handeln inom EU. De nya reglerna medför en hel del förändringar vad gäller företags hantering av personuppgifter. Företag som bryter mot reglerna riskerar böter på 4 % av omsättningen eller 20 miljoner euro. Dessutom finns det fler sanktioner, t.ex. kan individer kräva skadestånd från företag som bryter mot reglerna.

För att följa de nya reglerna behöver företag börja förbereda sig redan nu. Det handlar om att säkerställa att all behandling av personuppgifter, t.ex. uppgifter om anställda och om kunder, sker på ett lagligt sätt. Till att börja med får personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Dessutom måste det finnas en laglig grund för behandlingen. En laglig grund kan vara att behandlingen är nödvändig för att fullgöra ett avtal. Om en kund t.ex. gör en beställning från företagets e-handel får företaget behandla sådana personuppgifter som är nödvändiga för att fullgöra beställningen, t.ex. för att leverera varan och ta betalt för den. Företag får också behandla personuppgifter om det krävs enligt tvingande lag, t.ex. för att följa bokföringslagen. Företag kan även inhämta samtycke till en viss behandling, t.ex. genom att kunden kryssar i en samtyckes-ruta på företagets webbplats. Notera dock att samtycke inte alltid krävs, utan det finns mycket som ett företag kan göra utan att inhämta den registrerades samtycke. Marknadsföring via e-post kan t.ex. en viss period (normalt ett år från köp) ske utan samtycke till befintliga kunder, under förutsättning att företaget har uppfyllt vissa andra krav, t.ex. gett kunden möjlighet att tacka nej till marknadsföringen.

GDPR ställer även höga krav på att företaget är transparent i sin kommunikation. Det innebär bl.a. att företag har en skyldighet att informera alla registrerade individer om hur företaget behandlar deras personuppgifter. Vanligtvis görs det via en integritetspolicy eller personuppgiftpolicy. Dessutom bör företaget införa rutiner för att radera eller anonymisera personuppgifterna när behandlingen inte längre är nödvändig.

För att komma igång med arbetet att förbereda sig inför GDPR rekommenderar jag följande åtgärder:

• Inventera vilka personuppgifter företaget behandlar idag och säkerställ att det finns en laglig grund för all behandling, t.ex. vad gäller kundregister och särskilda behandlingar (exempelvis marknadsföring).
• Skapa ordning och reda kring personuppgifter. Enligt GDPR krävs bl.a. att ni upprättar en registerförteckning över all behandling.
• Radera eller anonymisera personuppgifter som inte längre får behandlas. Inför även rutiner för hur ni i framtiden ska gallra personuppgifter.
• Inventera vilka av era leverantörer, samarbetspartners och liknande som behandlar personuppgifter för er räkning (personuppgiftsbiträden) och ingå ett speciellt avtal, s.k. biträdesavtal med dem.
• Upprätta juridiska dokument som måste finnas på plats, t.ex. information till registrerade och biträdesavtal med era IT-leverantörer eller reklambyråer om dessa på något sätt får tillgång till företagets personuppgifter.
• Vissa företag behöver utse ett dataskyddsombud, d.v.s. en fysisk person med ansvar för att reglerna följs. Utred om ni omfattas av det kravet och utse i sådant fall någon internt eller externt. Om ni inte omfattas av kravet bör ni ändå utse en person som har särskilt ansvar för dataskyddsfrågor.
• Inventera era IT-system och säkerställ att de uppfyller kraven i GDPR.

Förutom att minska risken för böter innebär en laglig behandling av personuppgifter en minskad risk för badwill. Dessutom är ett GPDR-projekt ett utmärkt tillfälle att inventera företagets IT-system och få ordning och reda på vilka personuppgifter som företaget behandlar. Hur gör man då detta rent praktiskt? Mitt tips är att ni börjar med att skaffa er kunskap om vad reglerna innebär. Gå en kurs eller ta in en advokatbyrå som guidar er rätt om ni är ett större företag. Lita heller inte på allt som skrivs om GDPR på internet. Men det viktigaste av allt: Vänta inte längre, utan påbörja förberedelserna inför GDPR redan nu!

Anna Ersson är jurist på Advokatfirman Delphi. Hon är expert på dataskydd/GDPR, marknadsrätt och konsumentfrågor. Hon är en del i en framgångsrik grupp som hjälper företag med avtal och juridisk rådgivning inom all typ av online- och marknadsföringsrätt, till exempel kring hantering av personuppgifter, granskning av webbplatser och upprättande av villkor. Hon är dessutom en uppskattad föreläsare och håller löpande utbildningar om GDPR och online-juridik.