Kontakta oss

Stiernas Redovisningsbyrå

Gåxsjö 120
833 49 Hammerdal


Tel: 0644-400 50
Fax: 0644-400 72
Epost: info@stiernas.se


SRF Konsulterna

Rex standard för redovsningsuppdrag

GDPR

Den 25 maj 2018 började dataskyddsförordningen (GDPR) att gälla i Sverige och övriga EU. I dataskyddsförordningen skiljer man mellan vanliga personuppgifter och känsliga personuppgifter. Personuppgifter är all information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter.

 

Med känsliga personuppgifter menas bland annat uppgifter som avslöjar personens etniska ursprung, politiska åsikter, religionsåskådning eller sexuella läggning. Även uppgifter om personens hälsa och om personen tillhör en fackförening klassas som känsliga. Det ställs strängare krav på företag som registrerar och hanterar känsliga personuppgifter. Företaget måste kunna visa att det har övertygande skäl för att få registrera sådana uppgifter och uppgifterna måste skyddas extra väl så att inga obehöriga kan komma åt dem.

 

Du måste ha stöd i lagen för att få samla in personuppgifter, det kallas för att ha en rättslig grund. Det finns olika typer av rättsliga grunder. En kan till exempel vara ett avtal mellan dig och en kund, då har du rätt att samla in de uppgifter som behövs för att uppfylla avtalet. Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet. För att få samla in vissa andra uppgifter behövs samtycke, det vill säga du behöver be personen om lov först.

 

När du samlar in uppgifter om en person så måste du informera personen i fråga. I dataskyddsförordningen finns en lång lista över vilken information som ska ges, men kort sagt ska du tala om att du samlar in personuppgifter, vilka uppgifter det handlar om och varför du gör det. Kommer du att lämna uppgifterna vidare till andra, måste du tala om det. Tänk på att informationen måste vara tydlig och begriplig och helst skriftlig.

 

En annan viktig princip i förordningen är att de personuppgifter som du har i företaget ska skyddas så att de inte stjäls, oavsiktligt raderas eller att någon obehörig kommer åt dem.

 

En nyhet är att Datainspektionen kan besluta att ett företag som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift, vilket är en form av böter. Beloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. Genom att bara ha korrekta och relevanta uppgifter om befintliga kunder i kundregistret behöver du som företagare inte känna någon tveksamhet eller oro över att uppgifterna i registret inte är tillförlitliga.

 

En av tankarna med dataskyddsförordningen är att se till att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta gör det enklare för företag att expandera och verka i flera EU-länder. Ett svenskt företag som följer dataskyddsförordningen behöver alltså inte bekymra sig för att reglerna för hur uppgifter om exempelvis kunder får hanteras är annorlunda i något annat EU-land.

 

Tre viktiga punkter att tänka på!

  • Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt ändamål.
  • Spara inte uppgifterna längre än nödvändigt.
  • Skydda de personuppgifter du hanterar i företaget.