Dataskyddsförordningen gäller för alla företag
Får inga personuppgifter behandlas längre? Hur ska jag nu göra med alla de personuppgifter som mitt företag innehar? Många frågor togs upp och osäkerheten låg tydligt i luften när Teresa Laine-Puhakainen från KPMG berättade om de förändringar som snart införs genom EU: s nya databeskyddsbestämmelser.
Teresa Laine-Puhakainen
Får inga personuppgifter behandlas längre? Hur ska jag nu göra med alla de personuppgifter som mitt företag innehar? Många frågor togs upp och osäkerheten låg tydligt i luften när Teresa Laine-Puhakainen från KPMG berättade om de förändringar som snart införs genom EU: s nya databeskyddsbestämmelser. Cirka 150 företagare eller företrädare för föreningar deltog i tillställningarna, som VASEK och Vasa Företagare ordnade i mars.
– Begreppet dataskydd bör vara involverat överallt i affärsverksamheten. Dataskydd och datasäkerhet är två olika saker men är tätt förbundna med varandra. EU: s dataskyddsförordning är inte den första lagstiftningen som reglerar behandlingen av personuppgifter. Dess behandlingar har varit stadgade redan under en lång tid bland annat i personuppgiftslagen. En av de nya saker som föranleds av förordningen är den så kallade ansvarsskyldigheten. Enligt den bör varje företag och förening dokumentera personuppgifternas behandlingsprocess och de registeransvariga ska också kunna bevisa att dataskyddsförordningen har iakttagits, berättar Laine-Puhakainen.
Personuppgifter avser all information varifrån en person, det vill säga den registrerade kan identifieras direkt eller indirekt.
– Varje företag har personuppgifter antingen om sina anställda eller sina kunder och samarbetspartners. Om det inte finns några personuppgifter, så finns det säkert inga kunder heller, säger Laine-Puhakainen och ler när hon betonar att bestämmelserna i dataskyddsförordningen verkligen berör alla företag.
Att samla in delikata personuppgifter är strängt förbjudet om företaget inte har en lagstadgad grund för att samla in denna information. Överhuvudtaget bör företaget tänka på vilken information det samlar in, vilka källor de kommer ifrån och av vilken anledning. Det är också nödvändigt att ta reda på vem som hanterar uppgifterna och var de ska lagras och för hur länge.
– Företaget bör ha en en register- eller dataskyddsbeskrivning, där all denna information är upplistad. Den registrerade bör ha tillgång till beskrivningen och kontrollera uppgifterna som rör honom eller henne samt varifrån man kan be om att få revidera eller radera sina personuppgifter, berättar Laine-Puhakainen och ger rådet att bekanta sig med mallar för registerbeskrivningar som finns exempelvis på dataskyddsombudets hemsida.
Det måste alltid finnas någon anledning att behandla personers uppgifter. Antingen är det personens eget samtycke eller exempelvis en kundrelation. Samtycke gäller tills det avbryts. Samtycke kan dock inte återkallas om den registeransvarige har en lagstadgad skyldighet eller rätt till information.
– Ibland kan man också vara tvungen att berätta för kunden att det inte nödvändigtvis är möjligt att köpa företagets tjänster utan samtycke av att hens data registreras i kundregistret. Till exempel, om man vill att garantin skall gälla en viss period. Ett marknadsföringsförbud kan alltid utfärdas. Och i de meddelanden som skickas av företaget, antingen som pappersversion eller elektroniskt, måste alltid nämnas på vilket sätt man kan förbjuda marknadsföringen.
Laine-Puhakainen fortsätter:
– Att hela personalen i företaget har blivit skolade inom behandling av personuppgifter och inom dataskydd är också viktigt att ha dokumenterat i framtiden.
Det bör betonas att en minimering av uppgifterna är ett krav som införs av den nya förordningen. Samla endast in data som behövs för att tillhandahålla en tjänst, statistik eller marknadsföring, inget extra.
– För all data måste man också definiera behandlingstiderna, alltså avgöra när personuppgifterna ska tas bort från registret, säger hon tills slut.
Teresa Laine-Puhakainen, Sari Saarikoski och Maija Aarnio.
Maija Aarnio från Vasa Företagare och företagsrådgivare Sari Saarikoski från VASEK var nöjda efter de två dataskyddskvällarna:
– Förhoppningsvis har företagarna nu fått ett uppvaknande om att det verkligen är värt att vidta åtgärder så fort som möjligt. Vi tror att de kommer att vid det här laget vända sig till en expert, om det känns invecklat att utreda egna informationsflöden.
[contact_member,name=Sari Saarikoski,id=17,details=Name]