GDPR, den nya dataskyddsförordningen 

Från och med 25 maj 2018 träder det nya EU-direktivet och dataskyddsförordningen GDPR (General Data Protection Regulation) i kraft. Regelverket innebär utökade krav vid hantering av personuppgifter. GDPR ersätter den nuvarande personuppgiftslagen (PUL). Syftet är både att stärka personers integritetsskydd och harmonisera handeln inom EU.

Precis som tidigare gäller att bara samla in och lagra de personuppgifter som är nödvändiga, och bara spara dem så länge de behövs. Dessutom ska uppgifterna bara användas till sitt ursprungssyfte, så det gäller att vara tydlig från början. Det hårdare informationskravet om syftet med insamling av personuppgifter är en av skillnaderna, och att det ska bli lättare att få sina uppgifter korrigerade, överflyttade eller borttagna.

En annan stor skillnad i nya lagen är att sanktionerna blir hårdare för de företag som inte följer lagen, vilket kan innebära höga böter på så mycket som fyra procent av företagets totala omsättning. Det blir flera miljoner Euro för vissa företag.

Anställningskontrakt och samtycke 

Alla företag som lagrar uppgifter om personer i ett system är personuppgiftsansvariga och ska se till att behandlingen av personuppgifterna sker enligt lagen. För administrativa system innebär det exempelvis att anställningskontrakt måste finnas för att arbetsgivaren ska få hantera personuppgifterna. Men om mer data hanteras än vad som kan anses nödvändigt, för att till exempel betala ut en lön, måste den anställde ge sitt samtycke till att informationen lagras.

Vilken data är nödvändig information?

Den nya lagen är ännu inte rättsligt prövad, så därför kan det vara svårt att avgöra var gränsdragningen går för vilken information som anses nödvändig eller bara bra att ha. Varje företag måste därför göra sin egen bedömning, och kanske ta hjälp av en jurist. Ett tips är att redan nu se över vilken typ av data du lagrar avseende dina anställda och säkerställa att det bara är relevant data.

Personuppgiftsansvaret innefattar även informationssäkerhet, instruktioner för hantering och att de registrerade kan få tillgång till den information de har rätt till. Som medarbetare hos en personuppgiftsansvarig får du bara behandla personuppgifter enligt de instruktioner du har fått.