Dataskydds- förordningen GDPR

Den 25 maj 2018 träder den nya dataskyddsförordningen ikraft, reglerna ersätter Personuppgiftslagen (PUL). Målet är att harmonisera reglerna kring dataskydd inom EU samt förstärka integriteten och säkerheten av medborgarnas personuppgifter. Den registrerades rättigheter utökas samtidigt som företagens ansvar och skyldigheter blir större. Detta gäller inte minst företagens ansvar att dokumentera och informera kring hur personuppgifter behandlas. De nya reglerna innebär att företag och organisationer måste genomföra ett antal åtgärder och förhålla sig till dataskyddsfrågor på ett nytt sätt.

Innebörden i de nya reglerna kan sammanfattas i fyra punkter:

• Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt lagligt ändamål.

• Informera de personer vars uppgifter ni samlar in och dokumentera hur personuppgifterna behandlas i företaget och av andra på företagets uppdrag.

 • Spara inte uppgifterna längre än nödvändigt.

• Skydda de personuppgifter som företaget hanterar.

Vad är en personuppgift?

En personuppgift är varje uppgift som gör att det går att identifiera en levande fysisk person. Exempel på personuppgifter är namn, adress och personnummer. Men även alla uppgifter som gör en person identifierbar anses vara personuppgifter, det kan t.ex. röra sig om kundnummer, bankkontonummer, telefonnummer, fastighetsbeteckningar, registreringsnummer på ett fordon, GPS-positionering eller foto. Företag och andra juridiska personer anses inte vara personuppgifter, det gäller även om det ingår ett personnamn i bolagsnamnet. Däremot är uppgifter om personer i företaget personuppgifter. Vissa uppgifter anses vara särskilt känsliga personuppgifter, hit hör t.ex. uppgifter om hälsa, politisk eller religiös åskådning eller fackföreningstillhörighet. Känsliga personuppgifter får inte hanteras hur som helst, huvudregeln är att de inte får hanteras annat än i vissa angivna situationer och då gäller krav på högre säkerhet.

Hur får personuppgifter hanteras?

Det är tillåtet att hantera personuppgifter men företaget måste alltid ha en laglig grund för insamling och bearbetning av personuppgifter. Endast uppgifter som behövs för att uppfylla ändamålet får hanteras. De viktigaste lagliga grunderna är följande:

 • Avtal: Företag behöver hantera personuppgifter för att fullgöra avtal. Uppgifter i t.ex. kundregister, leverantörsregister eller lönesystem är uppgifter där grunden för behandling är avtal.

 • Rättsliga förpliktelser: Följer det av lag, kollektivavtal eller beslut som fattas med stöd av lag så har företaget också rätt att hantera personuppgifter. Det kan t.ex. vara uppgifter som behövs enligt bokföringslag, skattelagstiftning eller konsumentkreditlag.

 • Berättigat intresse: Det görs en intresseavvägning mellan företagets intresse att hantera personuppgifter och den enskildes rätt till skydd för uppgifter. Om företagets intresse väger tyngre får personuppgifterna hanteras. En känslig personuppgift får dock inte hanteras på grunden berättigat intresse. Exempel på berättigat intresse kan vara marknadsföring av företagets produkter och tjänster.

• Samtycke: I detta fall frågar man personen och om denne ger sitt aktiva samtycke får personuppgifterna hanteras av företag får de ändamål som omfattas av samtycket. Ett samtycke måste lämnas i förväg och föregås av att företaget tydligt informerar om vilka uppgifter som samlas in och vad de ska användas till. Exempel när samtycke kan krävas är innan personuppgifter publiceras på webbplatser eller för kundklubbar.

Företaget måste informera om vilken laglig grund som hanteringen av personuppgifter baseras på. Vi rekommenderar att företaget undviker samtycke om det finns någon annan rättlig grund. Ett skäl för detta är att ett samtycke när som helst kan återkallas och då måste hanteringen av personuppgifter avbrytas. Det krävs inte något samtycke från den enskilde när den lagliga grunden är annat än just samtycke. Ofta anlitar företaget hjälp som innefattar personuppgifter. Exempel kan vara när företaget har en webbshop, lagrar uppgifter i molnet eller tar hjälp med löner eller redovisning. Det företag eller den person som anlitas kallas i den nya lagen för personuppgiftsbiträde. Ett personuppgiftsbiträde måste ge garantier för att principerna i dataskyddsförordningen följs. Företaget måste ha skriftliga avtal med sina personuppgiftsbiträden.

Dataskyddsförordningen och byrån Dataskyddsförordningen påverkar regleringen av uppdraget mellan er som företagare och Sekona. Detta innebär att uppdragsavtalen behöver ses över.

När Sekona hjälper till med t.ex. redovisning, löner, deklarationer och annan rådgivning behöver personuppgifter hanteras. De lagliga grunderna för att hantera personuppgifter är avtal och rättslig förpliktelse. I dessa fall är Sekona personuppgiftsbiträde. Detta innebär att det måste skrivas ett personuppgiftsbiträdesavtal mellan ert företag och Sekona. Till detta avtal behövs också instruktioner som anger hur personuppgifterna hanteras. Ni som företagare kan också behöva informera t.ex. anställda om att personuppgifter hanteras av Sekona.

Byrån lagrar normalt personuppgifter i upp till 7 år efter det räkenskapsår när vi behandlat dem. Därefter gallras uppgifterna bort.

De nya reglerna gör att vi också måste förändra vårt sätt att skicka information. När det gäller känsliga personuppgifter kommer vi t.ex. efter maj månad inte längre att kunna använda den vanliga e-posten. Vi återkommer inom kort hur vi kommer att lösa detta.

Källa: LR Revisions nyhetsbrev Nr 1 - 2018

Sekona flyttar till nya lokaler

Belopp och procentsatser Skatteverket 2018