Den nya dataskyddsförordningen

Den 25 maj 2018 börjar EU:s nya dataskyddsförordning tillämpas.

I den här artikeln berättar vi vad det betyder för Isoltas kunder, d.v.s. små företag. Vi presenterar också de viktigaste sakerna som små företag behöver veta om den nya dataskyddsförordningen. Största delen av det vi tar upp är redan i kraft, så nu är det alltså ett bra tillfälle att reflektera över vad dataskyddsförordningen betyder för dig.

Den nya förordningen har två huvudsakliga syften. För det första skyddar den oss alla från att våra personuppgifter hamnar i fel händer eller används för felaktiga ändamål. För det andra skall den bättre skilja åt personuppgifter från annan information som används för att stödja och utveckla verksamheten i företag.

Vad är personuppgifter?

Med personuppgifter avses information som kan identifiera en person, eller en identifierbar fysisk person (nedan kallad en registrerad). Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är namn, adress, personnummer och identifikationsnummer, men också en lokaliseringsuppgift eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Alla företag är registeransvariga

Om vi skulle måsta nämna ett begrepp i dataskyddsförordningen som du bör förstå, är det registeransvarig Varje företag som samlar information om personer i tex. ett kund- eller personalregister är i praktiken registeransvariga. Alla registeransvariga har vissa skyldigheter – bl.a. att definiera hur personuppgifter behandlas och till vilket ändamål. För företag betyder det alltså att ha en klar dokumentation på vad personuppgifter används för och hur. Denna dokumentation kallas registerbeskrivning.

Isolta är således också registeransvarig, dvs. vi behandlar personuppgifter i samband med vårt kundregister. Isolta har många enskilda firmor eller enskilda näringsidkare som kunder. Uppgifter om enskilda firmor/näringsidkare kan redan i sig tolkas som personuppgifter eftersom de är identifierbara med enskilda personer. Du kan läsa mer om hur Isolta behandlar personuppgifter i Isoltas Sekretesspolicy

Det viktigaste du behöver veta som registeransvarig

  • Varifrån du samlar in personuppgifter
  • Vad du använder personuppgifter till
  • På vilka grunder överlåtes personuppgifter till tredje parter
  • Hur du ser till att uppgifterna är korrekta och uppdaterade
  • Hur du ser till att uppgifterna är i säkert förvar

En allmän regel är att man inte skall samla in mer personuppgifter än det som verkligen behövs i affärsverksamheten. Fråga alltså dig själv: Hurdan information behöver jag verkligen för att utveckla min verksamhet? Vilken av denna information är personuppgifter? På vilka alla ställen sparar jag personuppgifter, och hur behandlar jag dem? När du har detta klart för dig har du redan kommit långt. Se hellre på omständigheter relaterade till dataskyddet mer som en möjliggörande faktor, än en begränsande faktor. Det är sist och slutligen fråga om att skilja åt personuppgifter från all annan information du behandlar i företaget, och ha en klar dokumentation på hur du behandlar särskilt personuppgifterna.

Du ska trots allt vara försiktig med att överlåta personuppgifter till andra, dvs. en tredje part. Överlåtelse betyder att personuppgifterna blir bestående hos mottagaren, dvs. Tredje parten. Efter att du överlåtit personuppgifterna till en tredje part, blir den en registeransvarig i förhållande till de uppgifter du överlåtit.

En lättare modell är att “överföra” uppgifter. Då överlåter du uppgifterna tillfälligt till en tredje part, dvs. de blir inte bestående hos den tredje parten. Tex. en underleverantör kan ha tillfällig tillgång till de personuppgifter du har sparade. Denna typ av överföring är möjlig om tredje parten / underleverantören förbinder sig till samma dataskyddsvillkor som du själv. Situationen kan dock bli komplicerad om tredje parten / underleverantören befinner sig utanför EU eller ETA. Dessa situationer lönar sig att gå igenom med en dataskyddsspecialist.

Datasäkerhet är en del av dataskyddet

Oavsett om personuppgifterna är i digital eller pappersform, måste de vara i säkert förvar. Många tänker att förordningen om dataskyddet inte berör pappersarkiv. Men den gör det. Och vi vet av erfarenhet att pappersarkiv ofta är sämre skyddade än de digitala. Papper i ett kontorsutrymme ligger härs och tvärs, och kan komma bort i posten.

För ett litet företag är det enklaste och säkraste sättet att använda en pålitlig molntjänst för det syfte som du behöver samla in personuppgifter. Med andra ord betyder det att det lönar sig att ha så lite personuppgifter som möjligt sparat på företagets egna datorer. En dator som är kopplad till nätet är benägen för cyberattacker, d.v.s. den egna datorns och närnätets skydd måste vara i toppform. I en bra molntjänst sköter professionella personer om datasäkerheten och potentiella attacker har tagits i beaktande i skyddet.

Rätt att bli glömd

En person vars personuppgifter samlas in och sparas kallas registrerad. Enligt den nya förordningen har en registrerad mycket rättigheter i anknytning till sina personuppgifter. Den registrerade har laglig rätt till att försäkra sig om att hans/hennes uppgifter behandlas varsamt och är korrekta. En registeransvarig är alltså lagenligt skyldig till att se till att den registrerades rättighet i detta anseende uppfylls.

Ett speciellt drag i den nya förordningen är den registrerades rätt att få sina personuppgifter raderade. Det kan vara besvärligt för den registeransvarige, eftersom uppgifterna kan vara splittrade i olika enheter och sparade på olika ställen. Den registeransvarige borde därför fundera på hur personuppgifter kan sparas så att de enkelt går att radera på en gång vid behov.

Det finns trots allt situationer där det helt enkelt inte går att radera alla personuppgifter om den registrerade så begär. Det kan vara t.ex. fråga om att raderandet är mot lagen i andra sammanhang. T.ex. en faktura innehåller personuppgifter, men lagen kräver att bokföringsmaterialet (som också inkluderar fakturor) sparas i sex år.

Tjänsteleverantören hjälper den registeransvarige

Om en registeransvarig sparar personuppgifter i en molntjänst, t.ex. i Isolta, är molntjänstleverantören behandlare av personuppgifter. Behandlaren bör hjälpa den registeransvarige att fylla sina egna förpliktelser. Den registeransvariges skyldighet är att vid behov kunna leverera personuppgifterna för en registrerad i en strukturerad, läslig och allmänt begriplig form. Molntjänsteleverantören måste ge verktyg för den registeransvarige att kunna göra detta.

Om det sker en kränkning av dataskyddet i det register där den registeransvarige samlar personuppgifter (t.ex. Användarnamn och lösenord hamnar i fel händer), måste den registeransvarige inom 72 timmar meddela om det till dataskyddsmyndigheten. Om personuppgifterna är registrerade i en molntjänst och molntjänsteleverantören (dvs. behandlaren av personuppgifter) upptäcker en kränkning av dataskyddet, är leverantören skyldig till att meddela om kränkningen till den registeransvarige. I sådana fall lönar det sig för den registeransvarige att omedelbart vara i kontakt med molntjänsteleverantören för att få tilläggsinstruktioner till hur man skall gå till väga. För Isoltas del gäller det att ta kontakt med vår kundtjänst som gärna hjälper dig vid behov.

Var lönar det sig att börja?

Om du driver en sådan verksamhet att du behandlar stora mängder personuppgifter, t.ex. har ett stort kundregister eller du behandlar känslig information, lönar det sig att planera verksamheten och behandlandet av personuppgifter med en professionell dataskyddsspecialist. Det kan t.o.m. vara bra att utse en skild dataskyddsansvarig i företaget. En annan möjlighet är att göra upp en utförlig, detaljerad beskrivning på hur personuppgifter behandlas, i vilket syfte och varför.

I små företag är insamlingen av personuppgifter dock i mindre skala så kraven och behoven är lindrigare. Det lönar sig trots allt att ta en stund och fundera på hur personuppgifter behandlas i företaget, och t.ex. lista upp på vilka alla ställen personuppgifter är sparade, och för vad exakt i din verksamhet behöver du personuppgifter, och vilka olika lagenliga skyldigheter har du för att spara personuppgifter.

I små företag uppstår personuppgifter ofta i samband med ett kundregister och en fakturaförteckning. När du sparar uppgifter i Isolta kan du vara säker på att de grundläggande sakerna är i ordning. Isoltas kundtjänst hjälper dig gärna med alla dataskyddsrelaterade frågor – du blir alltså inte ensam med den nya förordningen.