IT-juridik viktigt även för industriföretag

Hur får man hantera personuppgifter i ett mindre företag? Det är en fråga som berör i princip alla verksamheter men som få företagare kan svara på.

I Sverige regleras hanteringen av personuppgifter av PUL, Personuppgiftslagen från 1998. Ett problem med lagen har varit att det har varit allt för svårt att förstå vilka krav som ställs, samtidigt som lagen varit relativt tandlös.

Under 2018 träder den så kallade Dataskyddsförordningen i kraft. En EU-förordning som från och med 25 maj 2018 gäller som lag i hela EU.

Förordningen bygger på samma principer som den nuvarande lagstiftningen, nämligen att all hantering av uppgifter kopplade till en enskild person endast får lagras om man har skäl för det och som huvudregel krävs samtycke. Några väsentliga förändringar förordningen att innebära och som företagare är det viktigt att vara medveten om vilka krav som ställs, oavsett vilken typ av verksamhet man bedriver. I princip alla företag hanterar personuppgifter i någon mån och det kan vara fråga om uppgifter i affärssystem, marknadsunderlag eller personal- och lönesystem.

Syftet med regelverket kring personuppgifter är att bevaka den enskildas rätt att inte övervakas och från och med den 25 maj 2018 kommer samtliga företag behöva:

  • Ha en god uppfattning om vilka personuppgifter som finns lagrade hos bolaget
  • Säkerställa att samtycke finns – när det behövs, att personuppgifter inte lagras i större omfattning än vad som är nödvändigt
  • Se till att man har en god säkerhet kring hur personuppgifterna hanteras
  • Arbeta löpande med att gallra sina affärssystem där personuppgifter förekommer för att rensa bort uppgifter som inte är nödvändiga
  • Det råder ingen tvekan om att Dataskyddsförordningen kommer innebära merarbete för det enskilda företaget med ökade administrativa kostnader som följd. Men en av de största förändringarna i förhållande till den nuvarande lagstiftningen är att sanktionerna blir mycket mer omfattande. Tidigare har felaktig hantering av personuppgifter kunnat resultera i några tusen kronor i böter. I och med den nya förordningen höjs beloppen avsevärt med ett max på 20 miljoner euro eller 4 % av koncernens totala omsättning.

Det finns med andra ord all anledning att redan i dag börja se över sin verksamhet för att kartlägga vilka personuppgifter man hanterar och säkerställa att man följer de nya reglerna. Den 25 maj 2018 måste allt vara iordning.

Alexander Clomén är bolagsjurist på Svensk Industriförening Sinf, och branschansvarig för bland annat svenska verktygsföreningen, STEMA.

Sinf är en organisation som arbetar med företagsstöd inom affärsjuridik, arbetsrätt och affärsutveckling för mindre och medelstora bolag. Föreningen fungerar som ett extern huvudkontor där kompetenser som är nödvändiga för bolagen tillgängliggörs när behoven uppstår. Alexander arbetar främst med den juridik som berör ägarledda företag så som avtal, arbetsrätt, tvister och andra affärsjuridiska frågor.