Vi har förtydligat hur vi behandlar personuppgifter och cookies.
Du följer nu ämnet: STOCKHOLMS STAD (sparas i Mitt DN)
Ekonomi

Höga böter kan vänta för företag som slarvat med GDPR

01:42. Dataskyddsförordningen GDPR ställer hårdare krav på företag och myndigheter att informera hur de behandlar personuppgifter. Men även privatpersoner påverkas av de nya reglerna. Här är några av de viktigaste delarna att hålla koll på.

På fredagen träder den nya dataskyddsförordningen GDPR i kraft. De nya reglerna ska på ett bättre sätt än tidigare skydda EU-medborgarnas personuppgifter. 

Vem vet vad om dig? Från och med i dag, fredag, ska det bli tydligare. Alla som samlar in personuppgifter om dig måste berätta det. Om ett företag råkar veta att du har fyra barn, spelar tennis och gillar matlagning ska du vara informerad om att det har den informationen. Du ska även få veta om någon annan har kommit över uppgifterna. 

– Alla krav som ställs i dataskyddsförordningen måste vara uppfyllda. Till att börja med måste man identifiera personuppgiftshandlingar och dokumentera dem. Alla som behandlar personuppgifter, som företag, föreningar och myndigheter måste gå ut med tydlig information om sin personuppgiftsbehandling till berörda personer, säger Camilla Sparr, jurist på Datainspektionen. 

General data protection regulation (GDPR) ersätter personuppgiftslagen (PUL). I Sverige har det funnits lagstiftning kring hantering av personuppgifter ändå sedan 1973 och är alltså inget nytt, men nu stärks den registrerades rättigheter ytterligare. Dessutom måste organisationer anmäla om uppgifterna har spridits till någon annan.

– Om det inträffar en incident, exempelvis att man utsätts för ett dataintrång eller tappar bort ett usb-minne med en stor mängd information på måste detta rapporteras till datainspektionen inom 72 timmar. Den skyldigheten har inte funnits tidigare så det är en ganska stor förändring, säger Camilla Sparr. 

Nytt är också det som kallas för dataportabilitet, som innebär att den registrerade kan välja att flytta över sina uppgifter från en aktör till en annan. Det innebär också att man har rätt att få sina uppgifter raderade, med vissa undantag. 

Det stora antalet mejl från företag med information om GDPR de senaste veckorna har varit av olika karaktär, där vissa vill att den som är registrad går in och godkänner de nya villkoren. Detta beror på relationen mellan personen och företaget, enligt Camilla Sparr. 

– Tidigare har det kanske bara levt upp till PUL:s krav men med GDPR kan det finnas ett behov av att fräscha upp samtycket, säger hon. 

Däremot krävs inget samtycket för den som redan är kund hos ett företag. 

– Det kan bero på att företaget lutar sig mot en annan laglig grund, som exempelvis avtalsgrunden. Då räcker det med att gå ut och informera. Informationskravet finns för alla som hanterar personuppgifter. Därför kan det se olika ut, säger Camilla Sparr. 

Notan kan bli hög för organisationer som struntat i att se över sina rutiner. Om reglerna inte efterföljs kan man straffas med böter på omkring 200 miljoner kronor eller fyra procent av omsättningen, beroende på vilket som är det högsta beloppet. 

Branschorganisationen Livsmedelsföretagen började informera sina medlemmarna om de nya reglerna för ett halvår sedan.

– Vi informerade om att det kan finnas anledning att se över sina register. Det har inte kommit speciellt många frågor så det verkar som om de flesta har bra koll, säger Daniel Emilson, tf kommunikationschef på Livsmedelsföretagen. 

Till Sveriges byggindustrier har fler vänt sig för frågor. Främst har det handlat om vad som förväntas, enligt kommunikationschefen Håkan Lind. 

– Företagarna förstår att det är något som måste hanteras men man är osäker på vad det betyder rent kontkret, säger han. 

Läs även: Så påverkas du av GDPR

 

Det här innebär dataskyddsförordningen:

För privatpersoner: 

- Information som kan kopplas till en person räknas som personuppgifter. Namn, adress och foton är vanligt förekommade exempel på personuppgifter. Hälsotillstånd, sexuell läggning eller politisk uppfattning är också personuppgifter och räknas som känsliga uppgifter. 

- Känsliga uppgifter får bara samlas in under särskilda omständigheter. Det kan till exempel vara att nationell lag tillåter det eller att du har gett ditt samtycke. 

- Dataskyddsförordningen innebär att du ska få information om att personuppgifter lagras, hur länge och i vilket syfte uppgifterna ska användas. 

- Om informationen om dig lämnar EU eller om någon annan aktör får tillgång till uppgifterna måste du informeras om det. 

- I vissa fall har du rätt att kräva att dina uppgifter raderas. Detta gäller till exempel om uppgifterna används i reklamsyfte. 

- Endast personuppgifter som är relevanta för ett visst syfte får samlas in. 

 

 

För företag: 

- Företag måste informera om vilka uppgifter som samlas in och varför man gör det. 

- Insamlingen ska göras för ett särkskilt ändamål. När uppgifterna inte längre behövs för ändamålet måste de raderas. 

- Om någon obehörig kan ha fått tillgång till uppgifterna måste det anmälas till datainspektionen inom 72 timmar. 

- De som är registrerade har rätt att få felaktiga uppgifter rättade. 

- Personer som finns i register har också rätt att invända mot att uppgifterna används i direktreklam. 

- Om du köpt något på nätet och sedan får reklammejl har du rätt att få dina  personuppgifter raderade. 

 

Ideella organisationer

- Föreningar och mindre organisationer måste följa dataskyddsförordningen. 

- Endast uppgifter som är relevanta för ändamålet får samlas in. 

- För att publicera medlemsregister på nätet krävs samtycke från medlemmarna. 

- Spara inte uppgifterna längre än nödvändigt.

- Se till att uppgifterna är korrekta. 

- Informera medlemmarna om vem som är ansvarig för personuppgifterna. 

- Informera om uppgifterna lämnas över till en annan organisation eller om de lämnas till ett land utanför EU. 

 

Källa: Datainspektionen

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.
Kommentera artikeln
I samarbete med tjänsten Ifrågasätt erbjuder DN möjligheten att kommentera vissa artiklar. Håll dig till ämnet och håll en god ton. Visa respekt för andra skribenter och berörda personer i artikeln. Vi tar bort inlägg som vi bedömer är olämpliga.