GDPR 25 maj 2018: Superkort sammanfattning
GDPR. Vad är GDPR? Vem berörs av GDPR? När träder den nya dataskyddsförordningen i kraft? Vad behöver småföretagen göra inför GDPR? Var hittar jag en enkel förklaring av GDPR? Vad är en personuppgift? Vad behöver småföretagarna göra inför GDPR? Vilka krav ställs på datainsamling med den nya reglerna i GDPR? Vad är ett Personuppgiftsbiträdesavtal? Gäller GDPR för företag utanför EU? Vad händer om jag struntar i GDPR? Var hittar jag en mall för Personuppgiftsbiträdesavtal? Hur höga kan böterna bli om man inte följer GDPR?
Vad är GDPR?
Dataskyddsförordningen GDPR = General Data Protection Regulation är EU:s nya dataskyddsförordning.
Det är tänkt att skydda individens rätt till integritet och rätten att få bli glömd/raderad ur ett register eller en databas.
Alla företag inom EU/EES som hanterar personuppgifter är skyldiga att följa GDPR.
Förenklat kan man säga att du har inte längre rätt att behandla personuppgifter. I de fall du ändå måste göra detta måste du följa GDPR och det måste finnas en anledning och plan för hanteringen av uppgifter som går att knyta till en viss individ.
Gäller personuppgifter du har i databaser, på papper, i e-posten och i andra filer på datorn, USB minnen, externa hårddiskar och liknande lagringsmedium.
Lagen gäller alla registrerade. Det spelar ingen roll om det gäller en kund, en patient, en anställd, en leverantör eller du själv.
Vad är en personuppgift?
Alla data somgår att koppla till en specifik person. Det kan vara Namn, ett Foto, E-post, Bankuppgifter, Kommentarer i social media, Hälsouppgifter eller en IP-adress.
Även bilder (foton) och ljudupptagningar av individer som behandlas i dator eller motsvarande kan vara personuppgifter även om inga namn nämns.
Du behöver nu få ett godkännande från varje anställd innan du kan lägga ut bild på dem på hemsidan.
Vad behöver småföretagaren göra?
- Motivering. Ditt företag måste kunna motivera varför har ni personuppgifterna och i vilket syfte?
Kan ni inte motivera lagringen måste ni förstöra dessa uppgifter.
MEN.. tänk på att Bokföringslagen har företräde. Bokföringsunderlag, fakturor och bokslut måste sparas i 7 år. Rätten att bli glömd gäller inte de data eller dokument du enligt lag måste arkivera.
- Undantag. En tidigare kund eller anställd kan inte begära att få sina uppgifter strukna eller raderade på t.ex. en faktura som företaget enligt lag är skyldig att spara.
- Datapresentation. Du som företagare måste nu kunna ta fram alla registrerade uppgifter om en person på begäran.
Du måste tänka på att CV:n och personliga brev m.m. som ditt företag tagit emot antingen måste radera/slängas efter tillsatt tjänst eller uppdateras t.ex. varje år med information till berörd person att ni fortfarande har uppgifterna och om de behöver uppdateras eller tas bort.
- Raderingsrutin. Vill man undvika onödig administration och risker i framtiden måste man införa en rutin för att göra sig av med insamlade uppgifter.
- Hacking. Om du blir hackad och någon kommer åt personuppgifter i dina filer måste detta nu rapporteras till Datainspektionen och även de berörda personerna måste informeras inom 72h.
- E-POST. Det största problemet för småföretagaren är antagligen hur de ska hantera e-posten. Hur gör du om du ska radera uppgifter om EN person i en mailkonversation med flera deltagare?
Använd inte e-posten som lagringsplats utan se till att göra PDF:er eller skriva ut de underlag du behöver till bokföring m.m. så att du enkelt kan radera alla mail vid behov utan att förlora data som du enligt lag måste arkivera.
Skicka inte listor med personlig info i mailen, skicka länkar till dokumentet istället.
- Kryptering. Har du inte gått över till TLS/HTTPS för din webbplats eller blogg är det hög tid nu! Detta eftersom GDPR innebär att du måste kunna visa att du hanterar personuppgifter säkert och krypterat. En enkel fråga via ett kontaktformulär med personuppgifter via gamla HTTP kan innebära ett brott mot GDPR.
Du behöver göra detta inför GDPR
Kort och förenklat kan man säga att du måste informera lite mer om att du sparar personuppgifter, hur du hanterar och bearbetar insamlad information och hur länge du tänker behålla den.
I Sverige har vi länge haft ganska omfattande lagstiftning angående detta (t.ex. PUL 1998) så det blir inte så stora förändringar för de flesta småföretagare i Sverige, däremot blir det drastiska åtgärder för Google och Facebook som formligen badar i tveksamma personuppgifter på individnivå.
Krav vid Datainsamling
Enligt Datainspektionen bör du fokusera på dessa punkter (Privacy by Design) när du samlar in data om individer i program eller på en webbplats:
- Begränsa sig till uppgifter som endast indirekt pekar ut en individ
- Begränsa sig till uppgifter som är mindre känsliga
- Samla inte in fler uppgifter än du behöver
- Ersätta namn med pseudonymer
- Inte rutinmässigt ta med personnummer som fält i databaser.
- Begränsa antalet som hanterar känsliga uppgifter
- Skydda personuppgifter från obehöriga
- Använd kryptering
- Informera om insamling och bearbetning i en Integritetspolicy
Personuppgiftsbiträdesavtal
Det här kanske kommer som en skräckupplevelse för vissa, att man måste ha avtal med alla sina underleverantörer om personuppgiftsbehandling. Många har dock redan detta eftersom det var ett krav redan i Personuppgiftslagen - PUL. Alla de större aktörerna och tjänsterna kommer ta fram dessa avtal åt dig. Men idag har många externa partners utomlands för mail, serverdrift, statistiktjänster, digital aktivering, chatsystem på webbplatser etc. Därför kan det krävas ett nytt avtal med en eller flera av dina underleverantörer angående GDPR.
Se exempel på mall för detta avtal här
Gäller GDPR för företag utanför EU?
JA, företag utanför EU som säljer tjänster till EU-individer eller behandlar uppgifter om EU:s medborgare måste följa GDPR.
Som vanligt tror EU att de kan stifta lagar som resten av världen förväntas följa trots att EU inte har någon jurisdiktion i andra delar av världen. Resten av världens företag behöver alltså inte följa GDPR egentligen, men EU försöker lura världen att de måste det.
Berörs småföretag av GDPR?
Ja alla som samlar in personuppgifter berörs. Det finns ingen omsättningsgräns eller tröskelvärde då man slipper tillämpa GDPR. Däremot kan böterna vid fel i GDPR-hanteringen bli betydligt lägre för småföretagen.
Vad händer om jag skiter i GDPR?
Organisationer kan få böter på upp till 4% av den globala omsättningen per år, eller max 20 miljoner Euro. Det högsta bötesbeloppet tillämpas för de allvarligaste överträdelserna, som t.ex. anses vara att inte ha tillräckligt med kundsamtycke för att bearbeta data eller bryta mot intentionen i begreppet Privacy by Design.
Du kan få böter på 2% för att inte ha dina register i ordning (artikel 28), om du inte underrättar tillsynsmyndigheten och den registrerade om ett brott eller inte genomföra konsekvensbedömning. Detta inkluderar även molntjänster.
Det är alltså stränga böter för fel och problem som relativt enkelt uppstår i ett modernt företag. Hur hårt detta kommer att tillämpas på småföretag är idag för tidigt att säga men helt klart kommer det skrämma upp många företagare som får lägga orealistiskt mycket tid, pengar och energi på att försöka efterleva ännu ett paket med byråkratiska och svårtolkade regler och lagar med gråzoner som är så breda att de måste mätas med Astronomiska Enheter.
VISMA har en bra sida för småföretagare med hjälp om GDPR här
EU: Allmän dataskyddsförordning Innehållsförteckning
Vill du läsa mer om hur momsens.se hanterar GDPR kan du läsa om detta här i Sekretesspolicydokumentet.
TESTA ÄVEN VERKSAMTS GDPR GUIDE HÄR
Andra inlägg
- Från 1 juli 2024 slipper du spara kvitton och fakturor i pappersform
- Valresultat 2024 för EU-valet
- OBS! Skattejätten Avalara slutar tvärt hjälpa säljare på Amazon
- Momsdeklaration 13 maj
- Bokföra försäkring
- Brytpunkt statlig skatt 2024
- Viktigt 12:e februari
- Prisbasbeloppet (PBB) för 2024
- Periodisk sammanställning för kvartal 4
- Hur länge kan man vänta med att bokföra intäkter som ej kommit till företagskontot?
OBS! Inga frågor besvaras längre i Facebooks plugin under artiklarna.
Använd detta kontaktformulär istället.