PersonuppgiftslagenOm du på något sätt hanterar personuppgifter i din verksamhet, måste du följa personuppgiftslagen, PUL, som upprättades 1998. Lagen finns för att skydda personer så att deras integritet inte blir kränkt på olika sätt när deras personliga uppgifter blir behandlade. I maj 2018 ersätts lagen med dataskyddsförordningen, GDPR, och blir mer EU-anpassad. Den här lagen rör till exempel den som har ett kundregister eller som har anställd personal.

Vad innebär PUL i stora drag?

Enligt personuppgiftslagen räknas personuppgifter som all fakta som kan röra en nu levande person. Alla data som kan kopplas till en fysisk person är personuppgifter. Även om det inte nämns några namn, kan till exempel fotografier och ljudinspelningar räknas som personuppgifter, liksom uppgifter som är krypterade och identiteter som är elektroniska (till exempel IP-nummer). Behandling av personuppgifter kan bland annat ske genom att ett företag har register av något slag, som kan röra exempelvis löner, personal eller kunder. Det kan också handla om att samla in, registrera, sprida och lagra olika slags personuppgifter. Meningen med PUL är att ingen ska kunna behandla någon annans personuppgifter utan samtycke.

Ytterligare information om PUL

I PUL regleras bland annat vilka uppgifter som räknas som ”strukturerade”. Finns uppgifterna i något slags register, till exempel en databas, räknas de som strukturerade. Om de är skrivna i löpande text eller står skrivna i e-post är de inte strukturerade. Strukturerade personuppgifter omfattas av många fler bestämmelser än de som inte är strukturerade. Det finns även en del undantag där sparade uppgifter om personer inte styrs av PUL, till exempel när det gäller vissa uppgifter som hanteras av myndigheter såsom polis, hälso- och sjukvård, socialtjänst och skatteförvaltning. I undantagsfallen är det andra lagar som träder in. Om en privatperson hanterar personuppgifter gäller vanligtvis inte PUL, men även där kan finnas undantag.

Vad innebär förändringarna enligt GDPR?

På svenska kommer lagen att kallas ”allmän dataskyddsförordning”. Den antogs 2016 i Europaparlamentet och i EU:s ministerråd, och gäller i Sverige från och med 25:e maj 2018. Många av de regler som finns i PUL i dag, finns också i den nya lagen. Nyheter är till exempel att undantaget för icke strukturerat material är borttaget. De krav som finns i dag om samtycke är ändrade. Det blir också krav på att ett företag ska ha ett register över vilken behandling som gjorts gällande personuppgifter. Företag som är med i övergången rekommenderas att förbereda sig noga för att smidigt kunna hantera förändringarna.

Att tänka på som företagare

När lagen byter namn, ändras och skärps är det mycket viktigt att som företagare hålla reda på vilka regler som gäller. Det är viktigt att ha koll på när PUL inte längre gäller och att lagen ersätts med GPDR i stället. På många arbetsplatser har det funnits anställda som har i uppgift att hantera ärenden enligt PUL, för att underlätta hanteringen av personuppgifter som är nödvändig inom så många verksamheter. För småföretagare kan det vara bra att söka information och rådgivning kring förändringarna. Bland annat finns det en guide som Datainspektionen och Tillväxtverket gjort, där ett antal frågor besvaras och utifrån dem tas det fram en guide med förslag till åtgärder.