2017-09-15

Vad händer när kunden äger sin egen data?

När PuL ersätts av GDPR äger varje individ sin egen data. Då ställs högre krav på ditt företags hantering av er kunddatabas, och förordningen lägger stor vikt vid att ni också kan styrka att den följs.

Den 25 maj 2018 kommer den nya europeiska dataskyddsförordningen, General Data Protection Regulation (GDPR), att ersätta vår personuppgiftslag (PuL). Många regler kommer att vara i princip oförändrade, men några nyheter genererar mer omfattande arbete för företag som hanterar personuppgifter. Framförallt ställs högre krav på dokumentation och integritet, och företag kan komma att bötfällas om man inte följer förordningen. Vid ev åtal gäller också omvänd bevisbörda, dvs att den åtalade själv måste bevisa att man agerat rätt.

Några förändringar i och med GDPR:

  • För personuppgifter, ex i en kunddatabas, kommer det att krävas att den registrerade individen godkänner att bolaget får lagra informationen genom ett samtycke. Bolagen måste också styrka orsaken till lagringen av informationen och individen kan ställa krav på att bli glömd i alla system.
  • Företag måste bättre informera personer om vad som registreras och hur man använder informationen. Känslig data ska alltid krypteras ("privacy by default").
  • Företag måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt och även styrka att eventuella samarbetspartners /ombud uppfyller samma krav.
  • Personuppgifter i löpande text och enkla listor, s.k. ostrukturerat material (ex webbsidor), har tidigare tillåtits enligt missbruksregeln men ska nu behandlas enligt samma regler som i strukturerade databaser.
  • Företag som utför vissa typer av riskfylld uppgiftsbehandling måste genomföra konsekvensanalyser inför personuppgiftsbehandlingar.
  • Företag måste utse ett dataskyddsombud för att se till att bestämmelserna efterlevs.
  • Företag måste bygga in ett så kallat uppgiftsskydd som standard i nya system ("privacy by design").
  • Företag måste kunna göra en integritetsanalys.
  • Alla dataintrång måste dokumenteras och i allvarliga fall rapporteras till tillsynsmyndigheten inom 72 timmar.
  • Straffavgifter kan uppgå till 20 miljoner euro, eller upp till 4% av ett företags årliga omsättning för brott mot dataskyddsförordningen.

Arbetet med kunddatabaser ska leva upp till den nya dataskyddsförordningen redan när den träder i kraft i maj nästa år, så det är dags att börja anpassa sin kunddatahantering redan nu!

Brand in West nästa vecka berättar auktionsfirman KVD hur de förhåller sig till GDPR när de bygger sina nya kunddatasystem och advokatbyrån Setterwalls ger insyn i fallgropar och krav som kan gälla just ditt företag.

Du kan också läsa mer på Datainspektionens hemsida:
Introduktion till dataskyddsförordningen
Förberedelser inför EU:s dataskyddsförordning
Dataskyddsreformen, vägledning för personuppgiftsansvariga mm.

Bloggen
close cross

Vill du bli kontaktad?

* Obligatoriska fält