Den nya dataskyddsförordningen

Nedräkningen har börjat

Med den nya förordning som reglerar lagringen av personuppgifter på organisationer och företag ska även ip-adresser och bilder hanteras på ett visst sätt. Så vad innebär detta för företagen? Handelskammarens jurist Anna Petre reder ut begreppen.

Vad säger den nya förordningen om hanteringen av personuppgifter?

- För det första är en personuppgift inte bara namn eller personnummer, det kan också vara en bild eller en ip-adress, allt som gör att man kan härleda en viss information till en viss person. Hädanefter måste all lagring av personuppgifter godkännas av personen i fråga. Man måste vid förfrågan även specificera vad uppgifterna ska användas till och hur länge de ska lagras. Detta blir ett stort jobb för till exempel vårdorganisationer eller företag med kundklubbar, som måste hämta in samtycke för att fortsätta registrera kunders inköp och liknande.

- Vill man som privatperson ringa till ett företag och säga; jag vill ha ut allt som ni har om mig som kund, då ska man bli garanterad att få det. Du har en viss tid på dig som företag, men sen ska du lämna över en lista. Efter rekryteringar kan man inte spara cv:n hursomhelst om man inte begärt samtycke.

- Enskilda personer ska också kunna kräva att bli raderad ur alla system när det inte längre finns någon grund att spara på personuppgifterna. Det kan vara företag du slutat handlat av eller arbetsgivare du inte längre jobbar för. Man ska vara garanterad att allt raderats. Vissa uppgifter måste dock sparas – enligt bokföringslagen behövs register på utbetalning av löner sparas ett visst antal år.

Läs mer: Trygga din affär genom säker deponi

Så vad blir de största konsekvenserna för bolagen?

- Först och främst måste man kartlägga vilka personuppgifter som sparas. Det kan vara gällande personalen, i crm-systemet, men också cv:n, bilder och sådant man sparar ner. Slutar någon på sin position ska de tas bort, för då är de inte aktuella för de syftet man la dit dem. Registret måste vara aktuellt och uppdateras kontinuerligt.

- Därefter behöver interna policys gällande hanteringar av personuppgifter att ändras. Man måste sedan se över avtalen med leverantörer av sina it-system. För vissa ingår en rensningsfunktion, om inte måste det bekostas eller bytas ut. Man måste också titta över om man gör backuper, och var de hamnar. Detta kommer innebära ett stort och tidskrävande jobb för alla, oavsett storlek.

Vilka sanktioner kan det bli?

- Höga. Det är beroende på vad det handlar om, men de ska vara kännbara och ligger på upp till 4 procent av omsättningen eller 20 miljoner euro. Vi vet dock ännu inte om sanktionerna kommer att bli mindre under en övergångsperiod.