GDPR 25 maj 2018: Superkort sammanfattning



GDPR. Vad är GDPR? Vem berörs av GDPR? När träder den nya dataskyddsförordningen i kraft? Vad behöver småföretagen göra inför GDPR? Var hittar jag en enkel förklaring av GDPR? Vad är en personuppgift? Vad behöver småföretagarna göra inför GDPR?  Vilka krav ställs på datainsamling med den nya reglerna i GDPR? Vad är ett Personuppgiftsbiträdesavtal? Gäller GDPR för företag utanför EU? Vad händer om jag struntar i GDPR? Var hittar jag en mall för Personuppgiftsbiträdesavtal? Hur höga kan böterna bli om man inte följer GDPR?

Vad är GDPR?

Dataskyddsförordningen GDPR = General Data Protection Regulation är EU:s nya dataskyddsförordning.

Det är tänkt att skydda individens rätt till integritet och rätten att få bli glömd/raderad ur ett register eller en databas.

Alla företag inom EU/EES som hanterar personuppgifter är skyldiga att följa GDPR.

Förenklat kan man säga att du har inte längre rätt att behandla personuppgifter. I de fall du ändå måste göra detta måste du följa GDPR och det måste finnas en anledning och plan för hanteringen av uppgifter som går att knyta till en viss individ.

Gäller personuppgifter du har i databaser, på papper, i e-posten och i andra filer på datorn, USB minnen, externa hårddiskar och liknande lagringsmedium.

Lagen gäller alla registrerade. Det spelar ingen roll om det gäller en kund, en patient, en anställd, en leverantör eller du själv.

Vad är en personuppgift?

Alla data somgår att koppla till en specifik person. Det kan vara Namn, ett Foto, E-post, Bankuppgifter, Kommentarer i social media, Hälsouppgifter eller en IP-adress.

Även bilder (foton) och ljudupptagningar av individer som behandlas i dator eller motsvarande kan vara personuppgifter även om inga namn nämns.

Du behöver nu få ett godkännande från varje anställd innan du kan lägga ut bild på dem på hemsidan.

Vad behöver småföretagaren göra?

  • Motivering. Ditt företag måste kunna motivera varför har ni personuppgifterna och i vilket syfte?

Kan ni inte motivera lagringen måste ni förstöra dessa uppgifter.

MEN.. tänk på att Bokföringslagen har företräde. Bokföringsunderlag, fakturor och bokslut måste sparas i 7 år. Rätten att bli glömd gäller inte de data eller dokument du enligt lag måste arkivera.

  • Undantag. En tidigare kund eller anställd kan inte begära att få sina uppgifter strukna eller raderade på t.ex. en faktura som företaget enligt lag är skyldig att spara.
  • Datapresentation. Du som företagare måste nu kunna ta fram alla registrerade uppgifter om en person på begäran.

Du måste tänka på att CV:n och personliga brev m.m. som ditt företag tagit emot antingen måste radera/slängas efter tillsatt tjänst eller uppdateras t.ex. varje år med information till berörd person att ni fortfarande har uppgifterna och om de behöver uppdateras eller tas bort. 

  • E-POSTDet största problemet för småföretagaren är antagligen hur de ska hantera e-posten. Hur gör du om du ska radera uppgifter om EN person i en mailkonversation med flera deltagare?

Använd inte e-posten som lagringsplats utan se till att göra PDF:er eller skriva ut de underlag du behöver till bokföring m.m. så att du enkelt kan radera alla mail vid behov utan att förlora data som du enligt lag måste arkivera.

Skicka inte listor med personlig info i mailen, skicka länkar till dokumentet istället.

  • Kryptering. Har du inte gått över till TLS/HTTPS för din webbplats eller blogg är det hög tid nu! Detta eftersom GDPR innebär att du måste kunna visa att du hanterar personuppgifter säkert och krypterat. En enkel fråga via ett kontaktformulär med personuppgifter via gamla HTTP kan innebära ett brott mot GDPR.

Du behöver göra detta inför GDPR

Kort och förenklat kan man säga att du måste informera lite mer om att du sparar personuppgifter, hur du hanterar och bearbetar insamlad information och hur länge du tänker behålla den.

I Sverige har vi länge haft ganska omfattande lagstiftning angående detta (t.ex. PUL 1998) så det blir inte så stora förändringar för de flesta småföretagare i Sverige, däremot blir det drastiska åtgärder för Google och Facebook som formligen badar i tveksamma personuppgifter på individnivå.

Krav vid Datainsamling

Enligt Datainspektionen bör du fokusera på dessa punkter (Privacy by Design) när du samlar in data om individer i program eller på en webbplats:

  • Begränsa sig till uppgifter som endast indirekt pekar ut en individ
  • Begränsa sig till uppgifter som är mindre känsliga
  • Samla inte in fler uppgifter än du behöver
  • Ersätta namn med pseudonymer
  • Inte rutinmässigt ta med personnummer som fält i databaser.
  • Begränsa antalet som hanterar känsliga uppgifter
  • Skydda personuppgifter från obehöriga
  • Använd kryptering
  • Informera om insamling och bearbetning i en Integritetspolicy

Personuppgiftsbiträdesavtal

Det här kanske kommer som en skräckupplevelse för vissa, att man måste ha avtal med alla sina underleverantörer om personuppgiftsbehandling. Många har dock redan detta eftersom det var ett krav redan i Personuppgiftslagen - PUL. Alla de större aktörerna och tjänsterna kommer ta fram dessa avtal åt dig. Men idag har många externa partners utomlands för mail, serverdrift, statistiktjänster, digital aktivering, chatsystem på webbplatser etc. Därför kan det krävas ett nytt avtal med en eller flera av dina underleverantörer angående GDPR.

Se exempel på mall för detta avtal här

Gäller GDPR för företag utanför EU?

JA, företag utanför EU som säljer tjänster till EU-individer eller behandlar uppgifter om EU:s medborgare måste följa GDPR.

Som vanligt tror EU att de kan stifta lagar som resten av världen förväntas följa trots att EU inte har någon jurisdiktion i andra delar av världen. Resten av världens företag behöver alltså inte följa GDPR egentligen, men EU försöker lura världen att de måste det. 

Vad händer om jag skiter i GDPR?

Organisationer kan få böter på upp till 4% av den globala omsättningen per år, eller max 20 miljoner Euro. Det högsta bötesbeloppet tillämpas för de allvarligaste överträdelserna, som t.ex. anses vara att inte ha tillräckligt med kundsamtycke för att bearbeta data eller bryta mot intentionen i begreppet Privacy by Design.

Du kan få böter på 2% för att inte ha dina register i ordning (artikel 28), om du inte underrättar tillsynsmyndigheten och den registrerade om ett brott eller inte genomföra konsekvensbedömning. Detta inkluderar även molntjänster.

Det är alltså stränga böter för fel och problem som relativt enkelt uppstår i ett modernt företag. Hur hårt detta kommer att tillämpas på småföretag är idag för tidigt att säga men helt klart kommer det skrämma upp många företagare som får lägga orealistiskt mycket tid, pengar och energi på att försöka efterleva ännu ett paket med byråkratiska och svårtolkade regler och lagar med gråzoner som är så breda att de måste mätas med Astronomiska Enheter.   

VISMA har en bra sida för småföretagare med hjälp om GDPR här

Du som är bloggare eller ansvarar för företagets hemsida bör läsa detta om Data Retention i Google Analytics

EU: Allmän dataskyddsförordning Innehållsförteckning

Vill du läsa mer om hur momsens.se hanterar GDPR kan du läsa om detta här i Sekretesspolicydokumentet.

TESTA ÄVEN VERKSAMTS GDPR GUIDE HÄR

 

 

16 apr 2018


OBS! Inga frågor besvaras längre i Facebooks plugin under artiklarna.

Använd detta kontaktformulär istället.


MOMS-SKATT-BOKFÖRING


Sök på Momsens:


Här hittar du det mesta om bokföring, moms och skatter för dig som är småföretagare med enskild firma!


Hittar du inte svaret på din fråga?
Använd detta kontaktformulär
(ställ inte frågor i kommentarerna under artiklarna eftersom FB-plugin inte skickar notiser när nya frågor/kommentarer om bokföring och moms postas. Det är bara de som är inne på den specifika sidan som ser när någon ny bokföringsfråga skrivs in)


www.momsens.se



Momslathunden är en app till din mobil som gör bokföring och momsdeklarationerna busenkla. Bild på huvudmenyn från Moms-lathunden.

Ladda ner momslathunden för iPhone och iPad.
Ladda ner iPhone/iPad versionen

Ladda ner Momslathunden för Android-enheter.

Ladda hem Android-versionen


Momsens.se hjälper företagare med bokföring, MOMS och skatter.


Ekonomi Länkar


Gratis Excel Mallar


Övriga Länkar



ekonomibloggar.nu

bloggar om ekonomi, bokföring och finans




Ge en gåva och donera en slant till momsens.se så att vi kan fortsätta hjälpa småföretagare och frilansare med bokföring, moms och skatter.



Sekretesspolicy för Momsens.se