Nästa vecka, närmare bestämt den 25:e maj, träder det nya GDPR-regelverket i kraft inom hela EU. Efter den 25:e maj 2016 utgår en tvåårsfrist för att företag och myndigheter ska ha möjlighet att anpassa sig till den nya modellen – så 25/5 2018 är ett datum att hålla i minnet.

Det nuvarande regelverket betecknas ju PUL, personuppgiftslagen, och man kan ju undra varför detta behöver ändras eller förnyas. De tre främsta anledningarna är för att skapa en harmonisering av regler inom EU, att anpassa regelverket till ny teknik samt att stärka integriteten.

Ska erkänna att jag inte har läst igenom det nya direktivet i sin helhet men jag var och lyssnade på Niklas Thorgerzon från Advokatfirman Vinge förra veckan. Där fick vi som var där bra och insiktsfull information om hur det nya regelverket kommer påverka oss och våra kunder – och det kommer helt klart att påverka. När vi som driftleverantör hanterar personuppgifter åt våra kunder i deras system brukar vi teckna ett så kallat biträdesavtal. Det här avtalet reglerar våra skyldigheter när det gäller hur vi och vår personal ska hantera system som innehåller personuppgifter. Det nya GDPR-avtalet går mycket längre! Ett av de grundläggande syftena är att EU:s medborgare ska kunna åtnjuta en större tilltro och skapa ett grundläggande skydd för hur persondata hanteras samt underlätta handel inom EU.

Här följer några exempel på hur regelverket ska stärka medborgares skydd.

“Rätten att bli glömd.” Att företag samlar in data om oss i exempelvis marknadsföringssyfte är ingen nyhet. Finns det inga legitima skäl för att företag har dina personuppgifter ska du kunna begära att bli borttagen. Det finns också speciella regler som kommer att gälla för minderåriga, vilka kanske inte är lika medvetna om riskerna med att lämna avtryck på internet. Det finns redan idag regler som styr detta men det blir alltså en skärpning av regelverket som bättre ska harmonisera med modern teknik. Däremot lär du inte ha någon framgång om du ber skatteverket att glömma bort dig! 😉

“Meddelandeskyldighet till myndighet om säkerhetsincidenter.” Skulle ett företag råka ut för en incident där det finns risk för att dina personuppgifter läcker ut har företaget en skyldighet att rapportera detta till berörd myndighet, vilket i Sverige är Datainspektionen. Detta inom 72 timmar!! Hur Datainspektionen ska kunna hantera detta framgår dock inte i dagsläget.

Ur ett företagsperspektiv finns det regler som ska underlätta ur ett europeiskt perspektiv. Istället för att ha 28 olika regelverk att förhålla sig till kommer det att finnas ett. Tanken är att det ska främja handel inom EU även för små och medelstora bolag som kanske inte har resurser eller kunskap om detta.

Som med alla komplexa regelverk finns det så klart både undantag och så kallad intresseavvägning vilket kommer spela in i hur och i vilken omfattning ni som företag kommer behöva vidta åtgärder. Vi som driftleverantör kommer att bli berörda – troligen ni också! Mitt tips är att redan nu samla information och läsa på för att förstå hur det nya GDPR-avtalet kommer att påverka just Dig.

/Jonas Gustafsson, VD.