Koll på personuppgifter

Den 25 maj 2018 ersätts Personupplysningslagen (PUL) av dataskyddsförordningen som blir gällande i hela EU. För de allra flesta företag innebär de nya reglerna att rutinerna kring lagring och annan behandling av personuppgifter behöver ses över. Vi har pratat med Henric Fransson, vd på Ballingslöv, och Gert Franzén, kundsupport- och IT-chef på Ballingslöv, om de nya förutsättningarna.

TEXT ALICE ROSENBERG FOTO ISTOCKPHOTO

Övergripande känns det rätt att aktörer måste styra upp sin hantering av personuppgifter, men visst är det något som påverkar oss mycket, säger Henric Fransson.

– Det finns en utmaning för oss som företag, fortsätter Gert Franzén. Först måste vi få grepp om vilken information vi samlar in som klassas som personuppgifter, det svåraste är det som finns i mejl och i enskilda medarbetares kundlistor, sedan behöver vi bygga upp nya system och rutiner. Det nya regelverket (General Data Protection Regulation, GDPR) påminner mycket om PUL vilket gör att det framför allt är skillnaderna som man som företagare behöver känna till. Definitionen av personuppgifter har breddats så att det nu innefattar i princip alla uppgifter som går att förknippa med en fysisk person – inklusive fotografier, IPadresser och webbalias. Även uppgifter om kontaktpersoner på företag räknas in. Då förordningen är ny saknas praxis på hur reglerna ska tolkas.

Henric Fransson,
vd på Ballingslöv

– Man hade kunnat önska sig en tydligare förordning, säger Henric Fransson. Det hade hjälpt mycket med exempel för att lämna mindre utrymme för tolkning. Vi har fått ta juridisk hjälp kring detaljfrågorna.

– Vi utgår från ett riskperspektiv och börjar arbeta med det som har högst risk och påverkan, säger Gert Franzén. Vi har kommit fram till att det viktigaste är att vi kommer i gång och arbetar strukturerat, så får vi revidera framöver i takt med att reglerna tolkas. Samtyckesprincipen är en central utgångspunkt i både PUL och i den nya dataskyddsförordningen. Nytt är att du som företag måste säkerställa att personen som lämnar samtycke förstår vad den lämnar samtycke till. Detta genom att skriva ut informationen på ett lättbegripligt sätt som tydligt särskiljer sig från annan information. Dessutom måste det vara enkelt att återkalla ett samtycke. Informationskravet skärps också. Efter den 25 maj måste du som företag informera om hur uppgifterna kommer att användas, hur länge uppgifterna ska sparas och varför du har rätt att behandla personuppgifterna. Du ska också se till att det är enkelt att hitta vem som kan svara på frågor om behandling av personuppgifter. För den som önskar få sina uppgifter raderade ska detta ske genast, om det inte finns särskilda skäl att inte uppgifterna inte ska raderas. Det kallas för rätten att bli bortglömd.

Du som företag måste säkerställa att personuppgifter som inte längre är nödvändiga rensas bort snarast möjligt med hänsyn till preskriptionstiderna i exempelvis bokföringslagen, diskrimineringslagen och avtalslagen. Som många andra svenska företag sitter Ballingslöv på en mängd olika personuppgifter i olika syften. Listor med konsumenter som har rätt till produktgaranti, kontaktuppgifter till återförsäljare, marknadsföringslistor och leveranslistor till slutkunder.

– För oss är det ju en kundnytta att veta saker om kunden för att kunna ge rätt erbjudanden, säger Henric. Med allt tolkningsutrymme som finns i förordningen ska det bli spännande att se hur det blir på riktigt. Det finns en risk att alltihop blir en ganska tandlös tiger utan faktisk påverkan.