Intervju med Anna Lööv, advokat på Kompass Advokat som är en affärsjuridisk advokatbyrå i Stockholm

Vad är GDPR?

Det är en dataskyddsförordning som ska börja tillämpas den 25 maj 2018 och som gäller i hela EU. Syftet är att skydda enskilda personers rätt till privatliv när det gäller personuppgiftshantering. I Sverige ersätter GDPR personuppgiftslagen. Förkortningen står för General Data Protection Regulation.

Vilka blir de viktigaste förändringarna för företags hantering av personuppgifter när GDPR träder i kraft?

De viktigaste förändringarna är

• att de registrerade personerna får fler rättigheter, till exempel rätten att få åtkomst till sina uppgifter elektroniskt och i vissa fall rätt att få uppgifterna raderade.
• att det blir obligatoriskt att utse ett dataskyddsombud för vissa företag som har omfattande personuppgiftshantering.
• att företag som behandlar personuppgifter åt andra företag får ett eget ansvar för behandlingen.
• att kraven på informationssäkerhet ökar.
• att företagen blir skyldiga att anmäla incidenter till Datainspektionen och i vissa fall till de registrerade som drabbats.
• att företagen själva måste kunna bevisa att GDPR följs vilket kräver ett dokumenterat internt arbete med regelefterlevnad.

Vilka kan konsekvenserna bli för företag som inte lever upp till de krav som ställs?

Förutom att förlora kundernas, de anställdas och andra registrerades förtroende riskerar företag kraftiga sanktionsavgifter (upp till det högre av 4% av omsättningen och 20 miljoner euro) och att betala skadestånd till enskilda som drabbats.

Vilket är ditt viktigaste råd till företagare inför införandet av GDPR?

• Säkerställ att företagets åtgärder för informationssäkerhet är tillräckliga och uppfyller GDPR:s krav på bland annat backup, kryptering, intrångsskydd och säkerhetstester.
• Kartlägg vilka personuppgifter som hanteras och varför. Avsluta all hantering som inte är strikt nödvändig eller där det saknas laglig grund. Gallra information som är föråldrad och inte längre behövs.
• Om företagets uppgifter hanteras av en extern leverantör – skriv ett nytt avtal med denne som uppfyller GDPR:s krav på form och innehåll. För leverantörer utanför EU/EES gäller särskilda regler.
• Skriv ett internt styrdokument/policy för personuppgiftshantering och utbilda personalen.
• Skriv ny information om personuppgiftshantering som uppfyller GDPR:s utökade informationskrav och se till att alla registrerade får den.
• Skapa ett dokumenterat internt arbete för regelefterlevnad. Det kan till exempel innebära att göra stickprovskontroller och riktade kontroller mot olika processer där personuppgifter hanteras och rapportera resultatet och åtgärdsförslag till VD/styrelse.
• Skapa rutiner för att ta emot de registrerades klagomål och begäran om olika rättigheter. Skapa även rutiner för incidentrapportering.