Precis som tidigare så får företag och organisationer bara samla in och lagra de personuppgifter som är nödvändiga och de får bara spara dem så länge de behövs. Dessutom ska uppgifterna bara användas till sitt ursprungssyfte, så det gäller att vara tydlig från början. Det hårdare informationskravet om syftet med insamling av personuppgifter är en av skillnaderna, och att det ska bli lättare att få sina uppgifter korrigerade, överflyttade eller borttagna.
En annan stor skillnad mellan GDPR och PUL är att sanktionerna blir hårdare för de företag som inte följer lagen, vilket kan innebära höga böter på så mycket som fyra procent av företagets totala omsättning. Det blir flera miljoner Euro för vissa företag.
Personuppgiftsansvarig eller personuppgiftsbiträde – båda har ansvar för uppgifterna
Alla företag som lagrar uppgifter om personer i ett system är personuppgiftsansvariga och ska se till att behandlingen av personuppgifterna sker enligt lagen. För administrativa system som HR och Lön innebär det exempelvis att anställningskontrakt måste finnas för att arbetsgivaren ska få hantera personuppgifterna. Men om mer data hanteras än vad som kan anses nödvändigt, för att till exempel betala ut en lön, måste den anställde ge sitt samtycke till att informationen lagras.
Men vilken data är nödvändig information, eller inte?
Det kan vara svårt att avgöra var gränsdragningen går för vilken information som anses nödvändig eller bara bra att ha. Varje företag måste därför göra sin egna bedömning och kanske ta hjälp av en jurist. Ett tips är att se över vilken typ av data du lagrar avseende dina anställda och säkerställa att det bara är relevant data.
Personuppgiftsansvaret innefattar även informationssäkerhet, instruktioner för hantering och att de registrerade kan få tillgång till den information de har rätt till. Som medarbetare hos en personuppgiftsansvarig får du bara behandla personuppgifter enligt de instruktioner du har fått.
Vi på Hogia är ett så kallat personuppgiftsbiträde när kund inte har systemet installerat hos sig utan lagrar personuppgifter i molnet, eller har Hogia som ansvarar för driften. Det innebär att vi bara får behandla personuppgifterna i enlighet med avtalet som vi har med kund, som är personuppgiftsansvarig och att vi måste vidta samma säkerhetsåtgärder.
Om du vill läsa mer om GDPR redan nu rekommenderar vi Datainspektionens vägledningar