Feedback
Varan har lagts till i varukorgen

Han är redo för nya regler med GDPR

13 december 2017
id06_2
Björn Sjöstrand på ID06 tycker att den nya dataskyddsförordningen är bra även om det ger utökad administration. Foto: Tobias Sterner
Vanskötsel av personuppgifter kan ge böter på 20 miljoner euro när GDPR införs. Nu är det dags att förbereda sig för den nya förordningen. En som gjort det är Björn Sjöstrand på ID06 AB.

Den 25 maj nästa år är träder den nya dataskyddsförordningen GDPR i kraft. Förändringen påverkar all hantering av personuppgifter som namn, personnummer, bilder eller annan information som går att koppla till en fysisk person.

Det är EU som beslutat om GDPR. Förordningen ersätter nuvarande regelverk i medlemsländerna och för Sveriges del handlar det om personuppgiftslagen, PUL.

En hel del kommer att vara sig likt. Exempelvis får man fortsättningsvis behandla personuppgifter utifrån samtycke från de som registreras för att uppfylla ett avtal eller liknande. Även skydd av uppgifter och särskilda krav på sådant som information om religiös tro eller hälsa kommer att se ut ungefär som idag.

Innehåller många nyheter

GDPR innehåller dock såväl förändringar som helt nya bestämmelser. Grunden i förordningen är att den som hanterar personuppgifter får utökade skyldigheter samtidigt som den registrerades rättigheter förstärks.

En som satt sig in i detta är Björn Sjöstrand, personuppgiftsombud på ID06 AB. Hans organisation påbörjade omställningen redan för ett par år sedan.

– Eftersom vi har ett så stort system och hanterar så mycket personuppgifter har vi varit noga med att anpassa oss efter de nya krav som nu kommer att ställas, säger Björn Sjöstrand.

Rätt till överföring

En av sakerna organisationen arbetat med är det som handlar om så kallad dataportabilitet. Kort sammanfattat innebär det att individen får rätt att begära ut sina personuppgifter för att kunna föra över dem till en annan tjänst eller IT-miljö.

Det är en av anledningarna till att företag anslutna till ID06 nu kommer att kunna lagra alla sina personalliggare centralt. Om en anställd vill ha ut sina registrerade personuppgifter blir det därigenom enklare att se på vilka arbetsplatser personen varit och hur uppgifterna använts. På så sätt underlättas arbetsgivarens hantering av en sådan förfrågan.

Ett annat exempel är rätten att helt bli borttagen från ett register. Björn Sjöstrand berättar att sådana funktioner redan finns i ID06 Kompetensdatabas men ändå är något man nu måste skapa ännu tydligare rutiner kring.

– Sedan är det fortfarande så att det kan finnas lagringskrav kopplade till annan lagstiftning som exempelvis skatteförfarandelagen som gör att vi eller företagen inte kan radera allt vid en sådan begäran.

Ger ökad administration

För många företag innebär de nya reglerna ökad administration, menar Björn Sjöstrand. Enligt honom underlättas dock hanteringen med hjälp av ID06-systemets olika funktioner och i slutändan tjänar de flesta på GDPR eftersom reglerna blir gemensamma över hela EU. Det medför att det också blir enklare för olika aktörer att verka inom hela unionen.

Alla leverantörer och underleverantörer av såväl tjänster som produkter behöver förstå
Daniel Riddarvinge

Enligt Datainspektionen finns en bra grund att stå på för företag och organisationer som redan idag har rutiner för att PUL följs. Har man inte det är det däremot hög tid att sätta igång.

På Datainspektionens hemsida finns information, vägledningar och checklistor för detta. Den som missköter sin behandling av personuppgifter kommer i vissa fall att kunna få böter på så mycket som 20 miljoner euro eller fyra procent av omsättningen.

Han ser kunskapsluckor

Daniel Riddarvinge är affärsområdesansvarig för GDPR på Acando och har hållit i utbildningar åt bland annat Sveriges Byggindustrier. Han tror att det finns en hel del kunskapsluckor kring de nya reglerna.

riddarvinge_webb Daniel Riddarvinge. Foto: Acando

– De stora bolagen är insatta i det här och har förstått. Men alla leverantörer och underleverantörer av såväl tjänster som produkter behöver förstå och efterleva GDPR i vardagen, och det är viktigt att komma ihåg, säger Daniel Riddarvinge.

Grundläggande, enligt honom, är att det finns ett så kallat personuppgiftbiträdesavtal mellan en byggherre eller entreprenör och underentreprenör. Detta ska reglera ansvaret och säkerställa att personuppgifter hanteras korrekt och inte försvinner.

Processer på plats

Lika viktigt är att ha system eller processer på plats för att hantera de fall där en person begär ut sina registrerade uppgifter, menar Daniel Riddarvinge. Om en anställd vill ha utdrag på sina registrerade uppgifter ska det göras med redovisning även av hur informationen hanterats genom hela ledet av eventuella underentreprenörer.

– Den här förordningen har inverkan på byggindustrin men man ska inte låta sig skrämmas för mycket. Är man ett mindre bolag ska man ha rutiner som matchar bolagets storlek, inte mer än så.

I sin enklaste form handlar det om att ha en Excel-fil som man bygger upp enligt Datainspektionens rekommendationer. Filen fyller man med de personuppgiftsbehandlingar man har och ser till att det finns rutiner dokumenterade för hur exempelvis gallring och registerutdrag av personuppgifterna ska gå till rent praktiskt.

Enkelt att hantera

Är man en hantverkare med ett tiotal anställda så är det ganska enkelt att hantera, tror Daniel Riddarvinge.

– Det kan handla om en arbetsrutin på ungefär tio sidor som blir en del av det som anställda behöver läsa igenom.

Det första utkastet till nya regler för dataskydd kom redan 2012. Förslaget har sedan tagit sig genom en beslutsprocess där samtliga medlemsländer till slut kunnat enas om ett gemensamt regelverk. Förkortningen GDPR står för General data protection regulation.

FAKTA Sex nyheter i GDPR
  1. Dataportabilitet: Registrerade personer ska ha rätt att få ut uppgifter för att föra över dem till en annan tjänst.
  2. Konsekvensbedömning: Behandling av uppgifter med särskilda risker föregås av bedömning kring nödvändiga åtgärder och möjliga konsekvenser.
  3. Anmälan om personuppgiftsincident: Exempelvis dataintrång eller förlust av uppgifter ska anmälas till Datainspektionen inom 72 timmar samt att man kan behöva informera registerade.
  4. Dataskyddsombud: Organisationer eller myndigheter som hanterar känsliga uppgifter måste utse en person med särskild uppgift att hantera dataskyddsfrågor.
  5. Sanktionsavgifter: Bryter man mot förordningens regler kan en sanktionsavgift bli aktuell.
  6. Missbruksregeln försvinner: Idag finns en förenkling som gör att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Denna så kallade missbruksregel försvinner.
Källa: Datainspektionen
FAKTA Så förbereder du dig för GDPR
  • Ta dig tid till att läsa introduktioner och checklistor på Datainspektionens hemsida.
  • Om du är med i en branschorganisation kan du undersöka om det finns stöd eller utbildningar att ta del av.
  • Se över och gör en sammanställning av de personuppgifter ditt företag hanterar så har du kommit en bra bit på vägen.
Källa: Björn Sjöstrand
Fördjupningsmaterial
Mest sedda inslag
Debatt i fokus
Andra bevakar
Bevaka ämne
Fler nyheter