5 frågor och svar om GDPR

Vad blir enligt dig den stora skillnaden jämfört med dagens PUL-lagstiftning, när GDPR eller dataskyddsförordningen som det heter i Sverige, börjar tillämpas den 25 maj?
– Syftet med de nya reglerna är att ytterligare stärka individers skydd och integritet vid behandling av personuppgifter samt att skapa ett enhetligt dataskydd inom hela EU. Den personuppgiftsansvariges ansvar och skyldigheter kommer vid en jämförelse med nuvarande regler i PUL förtydligas och utökas och den registrerades rättigheter förstärks.

Många av personuppgiftslagens begrepp och principer kommer att återfinnas i dataskyddsförordningen, men förordningen kommer även innehålla stora förändringar och vissa helt nya bestämmelser. (Se nyheterna i slutet av artikeln)

På vilket sätt kommer fastighetsmäklarnas vardag påverkas av GDPR?
– Förhoppningsvis inte så mycket som man vid en första anblick har anledning att befara, när det gäller det vardagliga arbetet, förutsatt att man sett över sina rutiner kring hur man hanterar personuppgifter och kompletterat dessa där GDPR ställer nya krav, såsom informationen till de behandlade, rutiner för gallring och incidenthantering. 

Vad gör Mäklarsamfundet för att underlätta för mäklarföretagen att följa de kommande reglerna?
– Vi tar tillsammans med FMF och med stöd av en mycket erfaren konsult, fram branschgemensamma riktlinjer, i kombination med vägledningar kring gallringsregler, ingående av personuppgiftsbiträdesavtal och informationsmaterial till de behandlade. Vi kommer även samråda med leverantörerna av mäklarsystem kring utformningen av informationstexter, lämpliga gallringstider med mera. Vi kommer naturligtvis också följa upp och informera om kommande uttolkningar av vissa idag oklara delar av regelverket, varefter det sker. Vi vill skapa så goda förutsättningar som möjligt för att mäklarföretagen ska följa det nya regelverket, men det är samtidigt viktigt att påpeka att det vilar ett stort ansvar på mäklarföretagen själva. Alla företag har olika förutsättningar, system och rutiner och alla behöver därför också göra en egen analys av vad som praktiskt behöver göras för att den egna verksamheten ska följa lagstiftningen.

Går det att säga något generellt om vad fastighetsmäklarföretagen behöver tänka på för att följa GDPR?
– Det är svårt att svara på generellt, då mäklarnas ”företagande” skiljer sig åt i stor utsträckning och därmed i vilka avseenden och i vilken omfattning personuppgifter behandlas och eventuellt sprids vidare till andra aktörer som man har samröre med. Det beror också på i vilken mån man påbörjat ett arbete med att anpassa verksamheten för att kunna möta kraven i GDPR eller inte. Grundläggande är dock att ”inventera” sin verksamhet och fundera på i vilka sammanhang man tar in och hanterar personuppgifter (dvs alla uppgifter som direkt eller indirekt kan knytas till en levande fysisk person, inte bara namn, adress och personnummer), säkerställa att man har en laglig grund för det och att man har koll på när ändamålet med behandlingen är uppnått och har rutiner för att då kunna gallra bort uppgifterna.

Vissa mäklarföretag kan ha kommit långt i förberedelserna och andra kanske inte ens har börjat. Har du några tips om hur man kommer igång?
– Det bästa sättet att komma igång är att börja med en genomgång av det man har i sina system idag och fundera på var det finns personuppgifter, för vilket ändamål de finns där och om de borde ha gallrats bort. Man bör även fundera på till vem man delar med sig av personuppgifter och kontrollera att man har avtal med dessa som uppfyller kraven enligt GDPR.

De branschriktlinjer med tillhörande vägledningar vi inom kort kommer att presentera, kommer förhoppningsvis också vara till god hjälp för att både komma igång med arbetet, om man inte gjort det, men också ge vägledning för att den löpande hanteringen av personuppgifter sköts enligt GDPR.

Några av de nya och utökade rättigheterna för den registrerade och andra nyheter är:

• Rätt till information – den registrerade ska innan behandlingen sker, få information om ändamålen med den behandling för vilken personuppgifterna är avsedda.

• Rätt till tillgång till registerutdrag – den registrerade ska ha rätt att begära tillgång till de personuppgifter som rör den registrerade i en sammanhållen handling och inte längre som i PUL, begränsat till ett tillfälle per år.

• Rätt till rättelse – den registrerade ska ha rätt att begära rättelse av personuppgifter som rör den registrerade.

• Rätt till radering (”rätt att bli bortglömd”) – den registrerade ska ha rätt att begära radering av personuppgifter som rör den registrerade.

• Rätt till dataportabilitet – den registrerade ska ha rätt att få ut de uppgifter som denne själv lämnat för att kunna föra över dem till en annan tjänst.

• Missbruksregeln upphör – den unika svenska förenklingsregeln som gällt vid uttolkning av PuL och som medfört att behandling av personuppgifter i löpande text såsom i Word-dokument och i mejl kunnat ske utan hinder av PUL, återfinns inte i GDPR. Förändringen gäller dessutom även retroaktivt, varför även ”gammal behandling” måste följa reglerna i GDPR, såsom kravet på laglig grund, gallring i rätt tid m.m.

• Rapporteringskrav vid sk personuppgiftsincidenter – misstanke om risk för eller konstaterat dataintrång och andra ”incidenter” måste registreras och i vissa fall anmälas till Datainspektionen inom 72 timmar.

• Sanktionerna vid brister i efterlevnaden skärps betydligt –  vid en mindre förseelse riskeras enbart ett påpekande med eller utan föreläggande om avhjälpande av bristen. Om brottet anses vara allvarligare, eller om företaget anses ovilligt att vidta nödvändiga åtgärder, kan dock sanktionsavgifter på upp till 20 miljoner euro eller 4% av företagets eller moderbolagets globala omsättning bli konsekvensen. Sanktionsnivåerna ska samordnas mellan de olika EU-ländernas myndigheter, vilket även det antas medföra skärpta sanktioner.

Mer information om den nya dataskyddsförordningen finns att läsa på Datainspektionens hemsida.