GDPR vad innebär det?
Den 25 maj 2018 trädde en ny dataskyddsförordning kraft. GDPR eller General Data Protection Regulation som den heter, är till för att skydda dig som privatperson, och innehåller ett centralt begrepp som heter privacy by design.
Privacy by design innebär att den organisation som samlar in personuppgifter också är skyldig att uppfylla de krav som ställs i dataskyddsförordningen. Dessa krav innebär till exempel att företag inte skall samla in fler uppgifter kring en person än vad som är nödvändigt, detta för att på så sätt bevara personens integritet. En personuppgift i sin tur kan vara allting som går att knyta till en fysiska person, till exempel ett registreringsnummer på en privatägd bil eller en hemadress.
Det säger lagen….
Du får endast samla in personuppgifter för “särskilda, uttryckligt angivna och berättigade ändamål som sen inte behandlas på ett sätt som är oförenligt med dess ändamål”. Detta gäller både i fall för anställda och kunder. Du får alltså inte samla in uppgifter för ett visst syfte, och sedan använda dem i ett annat syfte än det du hade när du samlade in informationen.
För att samla in information kring en person behöver du ha stöd i lagen, en så kallad rättslig grund. Detta kan vara till exempel:
- Rättslig förpliktelse, så som att du enligt bokföringslagen måste spara kunduppgifter i sju år för att kunna styrka dina underlag till bokföringen
- Avtal, exempelvis anställningsavtal – i avtalet skall endast de uppgifter som behövs för att fylla avtalet finnas, enligt principen om privacy by design.
- Samtycke – be personen om tillåtelse att registrera uppgifter om dem. Ett krav kring detta är dock att du skall ge personen tydlig information kring vilka uppgifter som samlas in, och i vilket syfte.
- Intresseavvägning – ifall företagets intresse att hantera uppgifterna väger tyngre än att hantera personuppgifterna än personens rätt till privatliv är det tillåtet att samla in personuppgifter.
GDPR och din bokföring
För dig som småföretagare innebär detta ur bokföringssynpunkt att du inte skall spara uppgifter kring dina kunder längre än vad som krävs enligt lag. GDPR ses som ett detaljerat komplement till bokföringslagen. Bokföringslagen säger att du skall spara dokument och maskinläsbara medier som rör din bokföring i sju år efter räkenskapsårets slut. I det här fallet gäller alltså bokföringslagen över GDPR, då lagen kräver att informationen sparas.
I dokumentationen ingår även ditt kundregister. Detta innebär att du kan ha kvar de kunder som du fakturerat under de senaste sju åren i ditt kundregister. Har du dock inte fakturerat kunderna under den perioden skall de tas bort ur ditt kundregister, eftersom du inte längre är skyldig att spara den informationen kring dem, och GDPR säger att du inte skall spara personuppgifter längre än vad som är nödvändigt. Läs mer här.
Viktigt att inte bryta mot GDPR
Vad som är viktigt att notera är också att det kan få allvarliga konsekvenser om man bryter mot GDPR. Den nya dataskyddsförordningen innebär att brott mot den kan resultera i en sanktionsavgift, som kan uppgå till 20 miljoner euro, eller 4 procent av företagets globala årsomsättning.