Varför är Datainspektionen så tyst?
24 oktober, 2018Data Breach Response and Notification – One Size Doesn’t Fit All
7 december, 2018I Sverige drivs cirka 38% av alla företag i aktiebolagsform. Enligt 5 kap. 1 § aktiebolagslagen ska det i ett aktiebolag finnas en aktiebok som ligger till grund för utövandet av aktieägarnas rättigheter mot bolaget och ger bolaget, aktieägarna och andra underlag för att bedöma ägarförhållandena i bolaget. Oavsett om ditt bolag är ett avstämningsbolag eller inte, ska aktieboken innehålla uppgifter om aktier och aktieägares namn och personnummer, organisationsnummer eller annat identifieringsnummer samt postadress. Är någon av aktieägarna en privatperson eller en enskild firma, betyder det att aktieboken innehåller personuppgifter, vilket innebär att dataskyddsförordningen (GDPR) är tillämplig. Är aktiebolaget inte ett avstämningsbolag, faller personuppgiftsansvaret på aktiebolaget.
”Men det står ju i aktiebolagslagen att aktieboken ska innehålla personuppgifter, då kan väl inte GDPR vara tillämpligt?” protesterar ledningen och kanske också den eventuella bolagsjuristen. PrivacyWorks vill i det fallet påminna om att bara för att GDPR är tillämpligt betyder inte det att ni inte får fortsätta behandlingen av personuppgifter. Tvärtom, reglerna om aktieboken i aktiebolagslagen ger er den rättsliga grunden för behandlingen, dvs rättslig förpliktelse.
Skönt, då har ni den rättsliga grunden ur vägen. Vad annat behöver ni tänka på angående personuppgifterna i aktieboken? PrivacyWorks ger er här några exempel:
1. Kartlägg behandlingen, d.v.s. att ni för aktiebok, varför ni gör det, vilka uppgifter som samlas in till aktieboken, vilka ni lämnar ut uppgifterna till och hur länge ni sparar dem.
2. Ni måste informera aktieägarna om behandlingen av deras personuppgifter. Informationsplikten gäller alltså trots att det föreskrivs i en lag att behandlingen ska förekomma. Vilken information som ska ingå för att uppfylla GDPR:s krav kan ni hitta i artikel 13 och 14 GDPR, bland annat syftet med behandlingen, hur länge personuppgifterna kommer att sparas samt vilka rättigheter kring sina personuppgifter som aktieägaren har.
3. Personnummer är så kallad ”extra skyddsvärd information”. Det innebär att ni måste iaktta lite högre IT-säkerhet för den sortens information än vanligt. Bland annat får personnummer inte mailas utan kryptering, eftersom ett okrypterat mail är som att skicka ett vykort, d.v.s. fullt synligt för alla och envar som vill komma åt det.
4. Som för alla personuppgifter får personuppgifterna endast sparas så länge det är nödvändigt. Hur länge är då nödvändigt frågar sig vän av ordning? Ja, huvudregeln är att enligt aktiebolagslagen ska aktieboken bevaras så länge bolaget finns och minst tio år efter bolagets upplösning. Om aktieboken förs med hjälp av automatiserad behandling, ska uppgifter sparas 10 år efter att uppgifterna tagits bort ur aktieboken.
Ovan innebär alltså ni kommer att spara era aktieägares personuppgifter i minst tio år, vilket stärker kravet på rätt och tillräcklig information och rätt säkerhet. Förutom våra exempel ovan måste ni även bland annat ta kontroll över vilka som har behörighet till personuppgifterna och vilka externa aktörer som kommer åt dem. Är någon av de aktörerna möjligen personuppgiftsbiträden som gör att ni behöver ett personuppgiftsbiträdesavtal?
Det kan låta som mycket att hålla reda på men vi på PrivacyWorks hjälper er gärna att strukturera upp allt och skriva ihop den nödvändiga informationen på ett lättbegripligt sätt. Kontakta oss gärna för att hitta lösningar på de GDPR-problem som kan uppstå i organisationen.