Hoppa till huvudinnehåll

Nu måste företagen berätta vad dina personuppgifter används till

Kristian Isaksen på Iris optiker i Vasa.
Optiker Kristian Isaksen på Iris optiker i Vasa. Kristian Isaksen på Iris optiker i Vasa. Bild: Yle/Jukka Tyni optiker,iris optiker

På fredag träder EU:s nya dataskyddsförordning i kraft. Den ställer högre krav än tidigare på hur företag behandlar och sparar personuppgifter. För optiker Kristian Isaksen och hans kollegor gäller vissa specialregler.

Tanken bakom förordningen är att förbättra skyddet av personuppgifter och se till att samma regler gäller i alla EU-länder.

Det ska också bli lättare för kunder och klienter att granska vilka uppgifter företagen har om dem.

Optikerns uppgifter om dig får inte raderas

Kraven som ställs på företagen varierar givetvis med hur stor del av ens verksamhet som kretsar kring behandlingen av personuppgifter.

Alla behöver till exempel inte utse en så kallad dataskyddsansvarig. Men det måste bland annat optikerna göra, eftersom de hela tiden behandlar uppgifter om sina kunders hälsa.

Den nya dataskyddsförordningen ger kunderna större rättigheter, kunden har till exempel rätt att kräva att företaget raderar alla personuppgifter. Men det kravet kan inte ställas på optikerna.

- Vi är förpliktigade att behålla informationen, om jag minns rätt under hundra år eller till tio år har gått efter att kunden har dött. Så allt får man inte ta bort, säger optiker Kristian Isaksen på Iris Optikko i Vasa.

Bra att fundera på vad man faktiskt behöver

Maija Aarnio är verksamhetsledare för Vasa företagare. Så här säger hon om den nya förordningen:

- Från företagens synvinkel betyder det mera byråkrati. Men samtidigt är det en möjlighet för företagen att utveckla verksamheten och se vilka uppgifter man faktiskt behöver samla in.

Kunderna måste informeras

Företagen ska lättförståeligt informera kunderna om vilka uppgifter man samlar in och för vilket ändamål.

Den nya dataförordningen stipulerar inte att informationen till kunderna måste ha en specifik form, till exempel en registerbeskrivning. Enligt dataombudsmannen råder det en viss förvirring kring just detta.

I motsats till personuppgiftslagen, som nu upphävs i och med den nya förordningen, kräver EU:s allmänna dataskyddsförordning inte att en register- eller dataskyddsbeskrivning upprättas.

De registrerade (kunderna/klienterna) måste emellertid informeras om behandlingen av personuppgifter.

Informationen ska ges avgiftsfritt

Det viktiga är alltså att informationen faktiskt når kunden. Dock ska informationen i huvudsak ges i skriftlig form och kan i vissa fall ges elektroniskt. Om kunden så önskar kan man även ge informationen muntligt.

Förordningen ställer också följande kriterier på informationen som ges till kunden:

- Informationen ska vara komprimerad, lättförståelig och lättillgänglig
- Språket ska vara tydligt och enkelt. Det här är speciellt viktigt när man informerar barn
- Informationen ska ges avgiftsfritt

Risk för böter

Det som också är nytt är att man nu kan bötfällas om man inte följer förordningen. Om ett företag blir utsatt för dataintrång måste det informera myndigheterna och de personer som uppgifterna gäller inom 72 timmar.

Det här får företagen strunta i endast om uppgifterna som läckts sannolikt inte riskerar orsaka skada.

Gäller alla företag

Förordningen gäller alla företag. Då kan man fråga sig hur vettigt det är att till exempel en frisör eller en yrkesfiskare informerar sina kunder utförligt om vilka personuppgifter som samlas in och varför.

- Men var ska man dra gränsen? Alla företag och föreningar har något slags register i någon dator. Så det här måste gälla alla, säger Maija Aarnio på Vasa företagare.

Maija Aarnio, verksamhetsledare på Vasa företagare.
Maija Aarnio, Vasa företagare Maija Aarnio, verksamhetsledare på Vasa företagare. Bild: Yle/Joni Kyheröinen företag,vasa företagare

Stora företag under uppsikt

Det sagt kommer det att sättas mer krut på att övervaka de stora aktörerna.

- Det har att göra med att vi enligt förordningen ska prioritera sådana fall som kan orsaka en större risk. Men alla aktörer måste kunna visa att de följer reglerna, säger dataombudsman Reijo Aarnio.

Reijo Aarnio
dataombudsman Reijo Aarnio Reijo Aarnio Bild: Yle / Matti Hämäläinen Reijo Aarnio

Aarnio tillägger också att många tror att de självmant måste upplysa dataombudsmannens byrå om att de följer dataskyddsreglerna, vilket oftast inte är fallet. Det finns bara några specialfall där det är nödvändigt.

Han upplever att de större aktörerna är bättre förberedda på den nya förordningen och att kunskaperna blir sämre när man går mot mindre företag.

Ganska mycket gammalt

Även om förordningen innehåller nyheter består en stor del av den av bestämmelser som redan tidigare tillämpats.

- Om företagen skött sig enligt de regler som redan tidigare varit i bruk är övergången inte en så stor operation, säger Reijo Aarnio.

Flera företag har vaknat sent

Företagen har haft möjlighet att uppdatera sig under en tvåårig övergångsperiod.

- Men hur många har kommit ihåg det? Är det först nu man tänkt på saken och fått bråttom? funderar Maija Aarnio.

Kristian Isaksen tycker att tiden har räckt till.

- Genast när vi hör om något nytt försöker vi förbereda oss i god tid. Tid finns alltid, bara man tar den.

Läs mer om dataskyddsförordningen här.

Läs också

Nyligen publicerat - Österbotten