GDPR och ditt bokföringsmaterial
Den allmänna dataskyddsförordningen (GDPR) är en förordning i EU-rätten om dataskydd och integritet för alla personer inom EU och EES. Den riktar sig också mot export av personuppgifter utanför EU och EES. GDPR stärker och utvidgar individernas rättigheter att kontrollera hur deras personuppgifter samlas in, används och delas, och den ställer högre krav på organisationer som hanterar personuppgifter. Den trädde i kraft den 25 maj 2018.
Vad säger lagen om förvaring av bokföring enl GDPR?
För dig som företagare innebär GDPR ur bokföringssynpunkt att du inte skall spara uppgifter kring dina kunder längre än vad som krävs enligt lag. GDPR ses som ett detaljerat komplement till bokföringslagen.
Bokföringslagen säger att du skall spara dokument och maskinläsbara medier som rör din bokföring i sju år efter räkenskapsårets slut. I det här fallet gäller alltså bokföringslagen över GDPR, då lagen kräver att informationen sparas.
Härefter är du inte längre är skyldig att spara informationen kring kunderna, och GDPR säger att du inte skall spara personuppgifter längre än vad som är nödvändigt och du har rättsligt stöd för.
Innehåller ditt bokföringsmaterial identifierbar information om privatpersoner är du alltså skyldig att informera personen om att du fortsätter lagra informationen eller på ett betryggande sätt destruera materialet.
Vi på Makulera.se hanterar ditt bokföringsmaterial på ett betryggande sätt och du får alltid ett intyg från oss när ditt material är destruerat.
Läs mer om hur du beställer kartonger för att sända in ditt material för makulering.
Enligt GDPR har alla personer inom EU och EES rätt till:
Integritet och skydd av personuppgifter: Organisationer får endast samla in, använda och dela personuppgifter med giltig grund, och de måste skydda dessa uppgifter på lämpligt sätt.
Transparens: Organisationer måste vara tydliga med hur de samlar in, använder och delar personuppgifter, och de måste lämna ut information om dessa aktiviteter vid förfrågan.
- Val: Individer har rätt att välja hur deras personuppgifter används och delas, och organisationer måste respektera dessa val.
- Kontroll: Individer har rätt att få tillgång till och rätta eventuella felaktigheter i sina personuppgifter, och att begära att sådana uppgifter raderas eller begränsas i användningen.
- Rättslig grund: Organisationer måste ha en giltig grund för att samla in, använda och dela personuppgifter, och de måste informera individer om den rättsliga grunden för sådana aktiviteter.
- Dataskydd för barn: GDPR innebär speciella skyddsregler för personuppgifter som rör barn under 16 år.
- Rätt till ersättning: Individer har rätt att få ersättning om deras personuppgifter behandlas på ett otillbörligt sätt.
- Rätt att lämna in klagomål: Individer har rätt att lämna in klagomål till den nationella dataskyddsmyndigheten om de anser att en organisation har brutit mot GDPR.
Vad är gdpr
GDPR (General Data Protection Regulation) är en EU-förordning som trädde i kraft den 25 maj 2018. Förordningen har som syfte att skydda individers personliga integritet och se till att personuppgifter hanteras på ett säkert sätt.
GDPR innebär att företag och organisationer som samlar in, behandlar eller lagrar personuppgifter måste följa vissa regler. Det innebär att de måste informera personer om hur deras personuppgifter kommer att användas, ha riktlinjer för hur personuppgifter hanteras och skyddas, och också ha rutiner för hur personuppgifter raderas när de inte längre behövs.
GDPR gäller för alla företag och organisationer som samlar in, behandlar eller lagrar personuppgifter om EU:s medborgare, oavsett om företaget eller organisationen är beläget inom EU eller inte. Förordningen gäller även för personuppgifter som samlas in via elektroniska medel, såsom webbplatser och sociala medier.
Hur påverkar gdpr mig
GDPR påverkar dig som individ på olika sätt, beroende på vilka personuppgifter du lämnar ut och hur dessa hanteras. Här är några exempel på hur GDPR kan påverka dig:
Rätten till information: GDPR ger dig rätten att få veta vad för personuppgifter som samlas in om dig, varför de samlas in och hur de kommer att användas.
Rätten till rättelse: GDPR ger dig rätten att begära att felaktiga personuppgifter rättas eller tas bort.
Rätten till radering: GDPR ger dig rätten att begära att dina personuppgifter raderas när de inte längre behövs för det ändamål de samlades in för.
Rätten till dataportabilitet: GDPR ger dig rätten att begära att dina personuppgifter överförs till en annan person eller organisation.
Rätten till begränsning av behandling: GDPR ger dig rätten att begära att behandlingen av dina personuppgifter begränsas, t.ex. om du motsätter dig behandlingen av dina personuppgifter.
Det är viktigt att du är medveten om dina rätt.
Hur vet jag att jag följer gdpr
Det finns ett antal saker du kan göra för att säkerställa att du följer GDPR:
Informera om hur personuppgifter hanteras: Se till att du informerar personer om hur deras personuppgifter kommer att hanteras, varför de samlas in och hur länge de kommer att lagras.
Ha riktlinjer för personuppgifter: Skapa riktlinjer för hur personuppgifter ska hanteras och skyddas, inklusive rutiner för att radera personuppgifter när de inte längre behövs.
Begränsa insamlingen av personuppgifter: Samla in så få personuppgifter som möjligt och se till att de är relevanta och nödvändiga för det ändamål de samlas in för.
Skydda personuppgifter: Se till att personuppgifter skyddas mot obehörig åtkomst och hantering, till exempel genom att använda kryptering och säkerhetsåtgärder.
Övervaka hanteringen av personuppgifter: Kontrollera regelbundet att riktlinjerna
2023
EU:s dataskyddsförordning, GDPR, beslutades för att skydda privatpersoners personliga information och säkerställa att de har kontroll över sin egen information. Denna förordning trädde i kraft den 25 maj 2018 och gäller för alla företag som hanterar personuppgifter från EU:s medborgare.
Syftet med GDPR är att harmonisera dataskyddslagstiftningen inom EU och säkerställa att alla företag behandlar personuppgifter på ett säkert och etiskt sätt. Förordningen definierar också vad som räknas som personuppgifter och vilka skyldigheter företagen har när det gäller att skydda dessa uppgifter.
En av de viktigaste aspekterna av GDPR är rätten till information, som innebär att individer har rätt att veta vilken information som samlas in om dem och varför den samlas in. Företag måste också tillhandahålla en enkel och tydlig information om hur personuppgifterna används, samt ge möjlighet för individer att begära att deras uppgifter raderas eller ändras.
Företag måste också utföra en riskanalys för att säkerställa att deras hantering av personuppgifter är säker och i enlighet med GDPR. De måste också ha processer och rutiner på plats för att hantera eventuella databrister och rapportera dem till tillsynsmyndigheter och berörda personer i enlighet med de tidsfrister som anges i förordningen.
Viktigt att notera är också att GDPR innebär att företag som samlar in personuppgifter från EU:s medborgare måste ha en giltig anledning att göra det, som till exempel för att fullfölja en kontrakt eller uppfylla en lagstadgad skyldighet. Företag måste också begränsa insamlingen av personuppgifter till det som är absolut nödvändigt för det syfte de har definierat.
Penalties för brister i GDPR är höga, med böter upp till 20 miljoner euro eller 4% av företagets globala omsättning, beroende på vilket belopp som är högre. Dessa böter syftar till att säkerställa att företag tar GDPR på allvar och följer de regler och bestämmelser som finns för att skydda privatpersoners personliga information.
GDPR, eller General Data Protection Regulation, är en förordning som gäller för alla organisationer som hanterar personuppgifter. Den trädde i kraft den 25 maj 2018 och ersatte tidigare personuppgiftslagen (PuL). Förordningen stärker skyddet för fysiska personer när det gäller hantering av deras personuppgifter och kräver att organisationer är öppna och informerar om varför och hur de samlar in och behandlar personuppgifter.
Det är viktigt att veta följande om GDPR:
Grundläggande principer, där varje behandling av personuppgifter måste ha ett tydligt ändamål och en laglig grund.
Inbyggt dataskydd, där organisationen ska vidta tekniska och organisatoriska åtgärder för att följa alla principer i förordningen.
Allt måste vara på plats den 25 maj, då förordningen tillämpas fullt ut och sanktionerna träder i kraft.
Prioritera och dokumentera val och åtgärder, ta hänsyn till riskerna för de registrerade och ha rätt dokumentation.
Kom igång genom att göra en avstämning av nuläget och prioritera de viktigaste områdena.
Involvera alla medarbetare i förändringen för att få alla på samma sida.
Sanktionerna bestäms utifrån allvarlighetsgraden av överträdelsen.
Ha rätt personuppgiftsbiträdesavtal och en integritetspolicy som förklarar hanteringen av personuppgifter.
Anmäl en personuppgiftsincident vid behov och avgör om det krävs en dataskyddsombud.
Arbeta ständigt med det inbyggda dataskyddet för att förbättra hanteringen av personuppgifter.
Ytterligare information från Datainspektionen. Läs här.