Nya och strängare regler på gång kring personuppgifter

Du som företagare och med anställda har ett ansvar kring att säkerställa att känsliga personuppgifter inte kommer i orätta händer. Nya EU anpassade förordningar som är i antågande gör det än viktigare att regler efterföljs. Vi har ställt några frågor om detta till dataskyddsexperten och juristen Sofia Bruno, från det digitala brevlådeföretaget Kivra.

– Sluta att skicka lönespecifikationer med e-post, det är inte förenligt med reglerna i PUL. Att skicka e-post är som att skicka vykort ur ett dataskyddsperspektiv, säger Sofia Bruno, med eftertryck. Det är upp till varje företag att välja vilka typer av medier som skall användas för känslig information. En digital brevlåda, som till exempel Kivra är ett mycket säkrare sätt än e-post, där får nämligen löntagaren hämta sina lönespecifikationer under säkra former.

Personuppgifter på en lönespecifikation är att betrakta som skyddsvärda, enligt PUL (Personuppgiftlagen). Ansvaret ligger på den som är personuppgiftsansvarig, d v s arbetsgivaren för att reglerna efterföljs. Många registrerade – löntagare till exempel – litar på att de känsliga personuppgifterna hanteras enligt alla konstens regler. Exempel på dessa är personnummer, bankkontonummer och anställningsuppgifter. Lönespecifikationer kan även innehålla känslig information kring till exempel sjukfrånvaro.

– Det har inte kostat särskilt mycket att bryta mot PUL. Straffsatsen är visserligen upp till 2 års fängelse, men vad jag vet har ingen hitintills dömts för detta. Det finns några fällningar med låga skadeståndsnivåer som påföljd, säger Sofia Bruno. Det mest jobbiga idag för företag som inte skött sig, är Datainspektionens tillsynsärenden som i vissa fall fått negativa mediala effekter för de drabbade företagen.

I slutet av 2015 kom parterna inom EU överens om innehållet i EU:s nya dataskyddslag, som kommer få stora konsekvenser för företag som verkar inom EU, den så kallade General Data Protection Regulation. Förutom att regelverket skärps, bland annat genom att rätten att få sina personuppgifter raderade stärks, kommer nu de företag som inte sköter sig att straffas hårt, med böter upp till 4 procent av bolagets globala omsättning. GDPR planeras att träda i kraft i maj 2018.

– Lite information finns idag tillgängligt kring hur företag bäst skall följa den kommande förordningen. Det finns dock vissa saker att ta tag i redan nu för att vara förbered, säger Sofia Bruno, och ger sina bästa tips här:

• Skapa er ”privacykultur”. Hitta ett förhållningssätt  kring hur ni jobbar med datasäkerhet som genomsyrar hela organisationen. Kulturen skall återspeglas i alla led – i det dagliga arbetet – och som en viktig agendapunkt i lednings- och  styrelserummet.
• Genomför risk-, och kravanalyser utifrån PUL:s och Datainspektionens riktlinjer.
• Skapa policys som tar höjd för och skyddar de personuppgifter som bolaget ansvarar för.
• IT-säkerhet; använd den säkraste tillgängliga tekniken. Kryptera all kommunikation innehållande känsliga uppgifter och undvik e-post för detta så långt det är möjligt.

Intervjuade gjorde Erik Frankendal från Frankly Speaking.

Foto från Kivra.