Blogg

Är din verksamhet klar för GDPR?

2016 antog EU en ny integritet förordning som heter General Data Protection Regulation, förkortat till GDPR. Den nya förordningen träder i kraft i hela EU-området från den 25 Maj 2018 så även i Sverige.

Detta kommer att påverka alla svenska företag på ett eller annat sätt. Företag kommer att behöva se över hur de sparar persondata. Den som inte gör det, har ett större jobb framför sig. En av skillnaderna från tidigare lagstiftningar är att man nu kan bli ersättningsskyldig vid brott mot den lagen. Man kan bli ersättningsskyldig på upp till 4% av den globala omsättningen, eller 20 miljoner euro.

Vad är ändamålet och vilka rättigheter har den enskilda person i förhållande till den nya lagstiftningen?

Det huvudsakliga syftet är att skydda den enskilda individen i en vardag där den ökande digitaliseringen stadigt hittar nya vägar till att skaffa sig en närmast komplett kartläggning av dig som person. Vem är det som gör detta? Vilket syfte har denne? Vad används informationen till? Har jag som enskild individ möjlighet till att bevilja och återkalla behörigheter för användning av min persondata? Medans det tidigare var mest fokus på känsliga personuppgifter (som till exempel vad man röstar på, sexuell läggning osv.) så gäller nu det nya regelverket också all typ av upplysningar som kan kopplas till en person.

GDPR

Det är svårt för en individ att stå upp mot dem stora internationella aktörerna utan att ha ett regelverk att stötta sig mot. Den nya lagstiftningen reglerar detta genom att ge individer fler rättigheter i vilka upplysningar som är registrerade om en själv. Den viktigaste punkten med den nya lagstiftningen som vi känner till idag är:

  1. Personuppgifter ska kunna samlas in och behandlas enligt det ändamål som individen har gett samtycke till, Dvs att individen ska informeras om vad upplysningen ska användas till.
  2. Individer ska kunna ge och ta tillbaka samtycke till behandling av personuppgifter, Dvs att individen ska informeras om vad upplysningarna ska användas till.
  3. Individen ska kunna be om tillgång till att läsa om vad företaget har registrerat om dem och samtidigt ha rätt till att be om att ofullständig eller inkorrekt information rättas till.
  4. Individer ska kunna be om att personuppgifter kan exporteras i ett dator läsbart format.
  5. Individer ska bli upplysta om det uppstår ett dataintrång.

Vad sägs om företagen?

Detta handlar mycket om lagring och bearbetning av data registret. Sett ur en affärssynpunkt är det därför lätt att kategorisera detta som en IT-uppgift och att ansvaret ligger hos dem olika IT leverantörerna. Men så är inte fallet. GDPR handlar om din verksamhet och vilka rutiner man har i förhållande till lagring av persondata. Så för att upprepa några av punkterna ovan. Varför lagrar vi denna information om en individ? Vad är syftet? Använder vi informationen endast för detta ändamål? När är det inte längre lämpligt att lagra denna informationen? Detta är frågeställningar som handlar mer om rutiner än om funktionalitet i ett IT-system. Kort sagt: Det är din verksamhet som är ansvarig för detta – och som kommer motta utredningar när det kommer till förfrågningar kring punkterna 1-5 här ovanför.

Som ett molnbaserad leverantör av affärssystem, är 24SevenOffice en naturlig plats att lagra information om andra verksamheter och personer. 24SevenOffice har inte som syfte att spara känsliga personuppgifter, men det finns många andra uppgifter som kan avses som persondata som lagras här. 24SevenOffice levererar bland annat till redovisningsbranschen, som är en reglerad industri och som redan har hårda krav på sig till att följa svenska lagar och regler.

Men för att sammanfatta så är det alltså inte 24SevenOffice uppgift att leverera ut uppgifter om en person som är registrerad i våra kunders register, det måste kunden själv göra. 24SevenOffice kommer å andra sidan att ordna så att uppgifter relaterade till de nya bestämmelserna ska kunna lösas så enkelt som möjligt – och inom de lagar och bestämmelser som gäller.