Anders Paulcén, vd på Compilator som säljer affärssystemet DäckData, har läst på vad som gäller för landets däckverkstäder när lagen träder i kraft. -Vår resa på Compilator startade redan i våras med en serie möten med våra jurister för att reda ut vad vi måste göra för att bli godkända för GDPR (The General Data Protection Regulation). För våra kunder innebär detta att de kommer få en produkt som uppfyller GDPR, och vi kommer hjälpa till med frågor för alla om behöver hjälp, säger Anders. Han menar att lagen innebär en stor förändring. -För de som tidigare struntat i alla datalagringsdirektiv blir det ett stålbad. De företag som inte följer GDPR riskerar stora böter med upp till fyra procent av företagets totala omsättning. Det handlar inte bara om IT utan om all hantering av personuppgifter. Har du till exempel ett löneregister innehåller detta personuppgifter, och det är ditt ansvar att ha regler för hur dessa rensas om personer slutar på företaget.
På vilket sätt förändras programmet DäckData?
- DäckData kommer att få speciella rapporter som ger kunderna besked om var vi lagrat vad. Du kan till exempel radera en kontakt utan att det påverkar arkiverade fakturor, vilka kan rensas separat efter sju år. Vårt kassaregister är godkänt av Skatteverket och lagrar inga personuppgifter, vilket gör GDPR-resan extra smidig. Tänk på att ett registreringsnummer på ett kvitto med en adress är en personuppgift. En bild på en bil med synligt registreringsnummer utanför din verkstad är också en personuppgift.
Hur kommer ni på Compilator att hjälpa däckverkstäderna?
- Genom att bygga in stöd i vår programvara och vi kommer också att sjösätta en stor programuppdatering. Vi utbildar vår personal och kommer också att agera uppgiftsbiträde till våra kunder om kontrollerande myndighet eller privatperson begär ut uppgifter från deras register.
Vilka personuppgifter har inte laglig grund att behandlas av en däckverkstad enligt nya dataskyddsförordningen?
- Laglig grund kan vara ett samtycke innan du behandlar en personuppgift. En förkryssad ruta på hemsidan är inte att anse som samtycke längre, eftersom den förkryssade rutan gör att ett sådant samtycke inte anses ha lämnats frivilligt. Ett samtycke till utskick av ett nyhetsbrev är inte heller ok om det samtidigt innebär att du kommer att få reklam i brevlådan. Det gäller alltså att vara extra tydlig med vad du avser göra med uppgifterna du samlat in. Dina kunder och medarbetare har utan kostnad rätt att veta vilken information du behandlar om dem, syftet med behandlingen och var någonstans behandlingen sker. Anders Paulcén berättar att individen har rätt att avbryta alla nyhetsbrev. Du får heller inte använda personuppgifter som du har behandlat på en faktura för att skicka mail med erbjudanden. Såvida du inte specifikt meddelat kunden att göra just detta och har ett bekräftat samtycke.
DETTA ÄR GPDR
Från och med den 25 maj 2018 gäller EU:s nya dataskyddsförordning, The General Data Protection Regulation (GDPR).Den kommer att omfatta alla företag som hanterar och lagrar personuppgifter. Enligt GDPR innebär personuppgifter allden information som är kopplad till en levande person, t.ex. namn, foto, e-postadresser, IP- adresser, platsinformation,och eventuella bilars registreringsnummer. GPDR omfattar även all typ av behandling av personuppgifter, vilket blandannat innebär insamling, registrering och lagring av personuppgifter.
RÄTTEN ATT BLI BORTGLÖMD
Individens rätt att bli bortglömd tror Anders själv är den regel som kan bli jobbigast eftersom den ställer stora krav på verksamheten. -Du måste efter sju år radera en faktura eftersom uppgiften då kommer att sakna laglig grund. En adress på ett förvaringskort har ett samtycke då ni ingått ett avtal som löpande förnyas. Det kan alltså finnas olika syften med din behandling av personuppgifter där lagringen av fakturor lyder under en, och kontakten i ditt adressregister lyder under en annan. Skulle din dator bli hackad eller om du tappar ett usb-minne med adresser har berörda personer under vissa omständigheter rätt att inom skälig tid bli underrättade. Du måste också anmäla säkerhetsincidenter inom 72 timmar till Datainspektionen. - Det är ditt ansvar att dina leverantörer av ITsystem har de rätta säkerhetssystemen för att skydda dina kunders data. Du måste ha rutiner för att ta bort personuppgifter samt dokumentera var och hur data förvaras och hanteras.
SUNT FÖRNUFT GÄLLER
Martin Brinnen, jurist på Datainspektion, menar att stora delar av regelverket redan finns i personuppgiftslagen.
Många upplever att det blir mer komplicerat med nya förordningen, är det så?
-För de som redan har koll på vilka personuppgifter som de hanterar är uppförsbacken inte så brant. Det man bland annat ska tänka på är att inte ha onödiga uppgifter i fritextrutan, till exempel att kunden är besvärlig, har dålig betalningsförmåga etc. Däremot får man självklart skriva att däcken är slitna eller att personen betalat i förskott. Något som skrämmer många är de höga bötesbeloppen om man gör fel. -Rädslan är kanske lite överdriven. Har man gjort och agerat efter bästa förmåga, men ändå råkat göra ett felsteg så är risken för avgifter mindre. På det hela taget är det sunt förnuft som gäller, säger Martin Brinnen.
För mer information om nya dataskyddsförordningen: www.datainspektionen.se/dataskyddsreformen/