Nya regler från 2018 – det här måste du veta

2017-03-20 15:22 Hanna Frick  
Dramatisk förändring. Från och med maj 2018 ställs betydligt tuffare krav på företag som hanterar data.

data och direkt På vilket sätt bolag får använda sig av och hantera data om sina kunder kommer i början av 2018 att förändras markant för företag inom EU.– Man måste kunna svara på om datan är en personuppgift eller inte, säger Axel Tandberg, jurist på Swedma.

Möjligheterna att samla in data om konsumenter är i dag enorma. Med de ökade möjligheterna växer även företagens ansvar för att hantera dessa uppgifter på rätt sätt. Den 25 maj 2018 måste företag ha anpassat sig till den så kallade dataskyddsförordningen, som ersätter den gamla personuppgiftslagen (PUL) från 1995.

– Definitionen av personuppgifter har utökats och omfattar mycket mer nu, säger Axel Tandberg, jurist på Swedma, om den nya dataskyddsförordningen.

Den största skillnaden mellan PUL och dataskyddsförordningen är att rätten till personuppgifter är individens.

– Mina personuppgifter är mina, det är en mänsklig rättighet. Man kan inte som företag säga att vi äger uppgifterna – utan företag lånar dem. Får man in den tanken, då kommer man långt, säger han.

I grund och botten så innebär den nya förordningen att all data som på något sätt kan kopplas till en specifik person räknas som personuppgifter. Marknadsförare måste vara tydliga i sin information om hur personuppgifter används och i vilket syfte.

– Därför är det jätteviktigt med ordning och reda. Man måste kunna svara på om datan är en personuppgift eller inte, säger Axel Tandberg.

Han ger ett exempel kopplat till IoT: En person kan sätta på sin kaffebryggare via en app i sin mobil. Men bolaget får genom appen också reda på fler saker om personens kaffevanor, vilken tid personen dricker kaffe, vilket märke den använder, och liknande. Om dessa uppgifter kan kopplas till en specifik person – då är det personuppgifter.

Om det är personuppgifter, måste marknadsförare ange på vilken grund man vill använda dessa uppgifter, och det krävs oftast ett godkännande av personen – oftast genom samtycke.

Samtycket måste i sin tur vara aktivt – exempelvis genom att personen klickar godkänn på att en webbsida använder sig av cookies.

En annan stor skillnad är att företag måste dokumentera mycket mer kring data.

– Företag måste ha nedskrivet på papper hur de resonerade när de tog del av datan från individen. Det är en ansvars­skyldighet som varje företag har, säger Axel Tandberg.

SAKER ATT TÄNKA PÅ:

1. Transparens är nyckeln
Individer måste få veta varför och hur personuppgifterna ska användas.

2. Jätteviktigt med ordning och reda

Alla företag måste ha stenkoll på den data som samlas in från personer. Måste kunna svara på frågan om det är personuppgifter eller ej.

3. Var försiktig med att samköra system

Ju fler pusselbitar om en persons beteende som samlas in, desto försiktigare bör företag vara för att se till att uppgifterna fortfarande är anonyma.

4. Dokumentera mera

Måste ha nedskrivet på papper hur man resonerat och vilken rättslig grund man hänvisar till för behandling av personuppgifter.

Hanna Frick

Kommentarer

Välkommen att säga din mening på Dagens Media.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Dagens Media eller av oss anlitad personal.

  Kommentarer

Läs även

ANNONS

Åsikter & debatt