– Tillsynsmyndigheten i Sverige, som är Datainspektionen, kan besluta om en sanktionsavgift på upp till 20 miljoner euro eller om det gäller ett företag kan sanktionen uppgå till 4 procent av den totala globala årsomsättningen, säger Johan Lundberg Karlsson.
En annan stor skillnad mot tidigare är att det nu kommer att ställas mer omfattande informationskrav till den som finns med i ett register. Detta för att medborgarnas rättigheter ska stärkas. I det ökade medborgarskyddet ingår också rätten att bli glömd, till exempel kan man få uppgifter som finns på en sökmotor bortplockade.
– Användaren av registret måste informera den registrerade om hur uppgifterna ska behandlas och det kan också bli aktuellt att begära samtycke. Den registrerade ska ha full insyn i behandlingen av personuppgifterna och även kunna kräva att de raderas, berättar Johan.
Den nya lagen, GDPR, kommer att ersätta personuppgiftslagen, PUL, som funnits sedan 1998. Syftet med den nya lagstiftningen är bland annat att få till en harmonisering mellan EU:s medlemsstater. Nu är det samma lagtext som gäller oavsett vilket EU-land man befinner sig i.
– GDPR står över den nationella lagstiftningen, konstaterar Johan.
En annan nyhet är ökade krav på företag och organisationer att hålla koll på vilka data de hanterar. Den som behandlar personuppgifter måste efter den 25 maj i vissa fall utse ett dataskyddsombud.
– Och denna person får inte ha en ledande befattning i företaget.
Det ställs också hårdare krav på rapportering vid dataintrång.
– Ett sådant måste rapporteras till Datainspektionen inom 72 timmar efter att detta upptäckts.
Johan Lundberg Karlsson råder företagen i Skellefteå att verkligen lägga tid och energi på att skapa rutiner kring hanteringen av data så att man klarar av att uppfylla lagen.
– Man kan ju också se positivt på saken och ta vara på möjligheten att få ordning och reda inom detta område, avslutar han.