Sedan dess har det hänt en hel del. Många av dagens självklarheter och möjligheter fanns inte ens, framförallt kopplat till den teknikutveckling som har skett.

Det är en hel del som utestår kring hanteringen av GDPR och det regelverk som stärker upp personuppgiftsbehandlingen på nationell nivå. Datainspektionen och den samverkansgrupp med motsvarande dataskyddsmyndigheter i övriga EU, Artikel 29-gruppen, kommer på olika plan med nya riktlinjer och föreskrifter. Och det finns mycket som redan är klart. Den första frågan som måste ställas är vilken anledning som finns för att behandla personuppgifter. GDPR har tydliga rättsliga grunder för när det är tillåtet att behandla personuppgifter. En av de rättsliga grunderna är att behandlingen är nödvändig för att fullfölja ett avtal. Som redovisningsbyrå finns ett uppdragsavtal som ska uppfyllas, en rättslig grund är tydlig. Och de personuppgiftsbiträdesavtal som redan idag måste finnas enligt PuL måste uppdateras för att uppfylla de utökade kraven enligt GDPR.

I Sverige kommer det enligt förslag vara Datainspektionens uppdrag att kontrollera att regelverket enligt GDPR efterföljs och att sanktionsavgift påförs för de företag som inte uppfyller kraven. Hotet om stora vitesbelopp har fått många att inse vikten av att hantera personuppgifter korrekt, så där PuL inte fått genomslagskraft kommer GDPR att ge effekt. Både nuvarande och kommande lagstiftning handlar om att värna individens integritet, bygger i hög grad på samtycke och information till de registrerade. Samtidigt innebär GDPR såväl förtydliganden som förstärkningar av individens rättigheter.

GDPR är förordningen som antogs den 27 april 2016 och som Sverige med samtliga EU-länder har fram till den 26 maj 2018 på sig att införa på nationell nivå. Just nu pågår anpassningar av GDPR till den svenska lagstiftningen och det kommer en ny lag som kompletterar GDPR, dataskyddslagen. Dataskyddslagen har varit ute på remiss fram till den 1 september 2017 och det är inte klart när den kommer att beslutas i riksdagen. Dataskyddsutredningen, som har arbetat fram lagförslaget, har strävat efter att den personuppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Några av de viktigaste områden som dataskyddslagen reglerar är hantering av personnummer, samordningsnummer, känsliga uppgifter, kollektivavtal och uppförandekoder. Förslaget som ligger nu ger kollektivavtal en likvärdig ställning som lag när det gäller behandling av personuppgifter. Ett ytterligare alternativt komplement till lag och kollektivavtal är en branschkod eller uppförandekod. En uppförandekod är en specificering om hur man i praktiken ska tillämpa dataskyddsförordningen inom ett område och kan också beskrivas som en sorts branschvis självreglering i syfte att konkretisera regelverket. Just en uppförandekod håller Srf konsulterna på att ta fram tillsammans med Srf Lönsam. För även om det inte går att få en uppförandekod godkänd enligt dataskyddsförordningen förrän förordningen har börjat att tillämpas så är det en process att få fram den. Och implementeringen av GDPR måste ses som en process, som måste påbörjas om den inte redan är igång. En början är att göra Srf konsulternas självtest som du hittar på srfkonsult.se/gdpr. Srf konsulterna bevakar, informerar och uppdaterar, men varje redovisningsbyrå måste också se över sin personuppgiftshantering utifrån sina egna förutsättningar.