GDPR

Om ni hanterar personuppgifter, tex för kunder eller anställda, är ert företag personuppgiftsansvariga och ni måste följa den nya EU-lagen, GDPR, som införs 26e maj, 2018.

Här har vi summerat det som vi anser vara den viktigaste informationen.

gdpr_eu_abouttime

För fullständig information se Datainspektionen som är ansvarig myndighet


1. Vad är GDPR?

General Data Protection Regulation (GDPR) är en ny dataskyddsförordning som antogs den 27 april 2016. Den nya lagen genomförs samtidigt i hela EU den 26 maj, 2018 och ersätter då Sveriges personuppgiftslag (PUL) som vi har haft sedan 1998 (baserad på ett EU-direktiv från 1995). PUL reglerar hur personuppgifter får hanteras och innebär redan idag många krav men dessa förstärks och utökas i den nya GDPR. De företag som inte efterlever GDPR riskerar stora böter – upp till 4% av omsättningen.


2. Vad är en personuppgift?

Personuppgifter är all slags information som kan knytas till en fysisk person via en ”identifierare” som t.ex namn eller personnummer. Typiska personuppgifter är personnummer, namn, adress, foton och anteckningar som gäller personen. Har ni företagskunder är det alltså uppgifter som gäller en specifik individ och inte bolaget. Organisationsnummer är bara en personuppgift om företaget är ett enskilt firma.

Vissa personuppgifter anses vara känsliga personuppgifter och har därför ett starkare skydd i dataskyddsförordningen. Dessa gäller:

1.  ras eller etniskt ursprung
2.  politiska åsikter
3.  religiös eller filosofisk övertygelse
4.  medlemskap i en fackförening
5.  hälsa
6.  en persons sexualliv eller sexuella läggning
7.  genetiska uppgifter och
8.  biometriska uppgifter som entydigt identifierar en person.

Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter. Det finns dock en rad undantag som möjliggör behandling av känsliga personuppgifter, till exempel om det finns ett uttryckligt samtycke.

Källa: Artikel 4 och 9 i GDPR


3. När får personuppgifter samlas in (laglig behandling)?

Insamling och hantering av personuppgifter måste ha ett tydligt skäl för att vara lagligt, så kallad rättslig grund. Dessutom får uppgifter som samlas in för ett visst syfte inte senare användas för ett annat syfte.

Nedan listar vi de vanligaste anledningarna som ni kan använda er av:

  1. Samtycke
    Informationen måste vara tydlig vad samtycket innebär och att ni i efterhand kan visa att personen har samtyckt, dvs det är viktigt att ni dokumenterar detta. Det ska också vara möjligt för individen att återkalla sitt samtycke.
  2. Avtal
    Anställningsavtal och kundavtal är exempel på avtal som innebär en rättslig grund, t.ex. för att kunna fakturera eller utföra en löneberäkning. Tänk på att det bara gäller uppgifter som behövs för att uppfylla avtalet. Om ni t.ex vill spara information om vilka intressen en kund har, eller om denne har barn eller hund, måste ni troligen ha kundens samtycke.
  3. Intresseavvägning
    Om ni kan visa att ert intresse väger tyngre än den enskildes rätt till privatliv (barn anses vara särskilt skyddsvärda). Detta brukar räcka när det gäller marknadsföring och direktreklam, men observera att ni inte får göra detta om personen frånsagt sig detta.
  4. Rättslig förpliktelse
    I vissa fall är ni skyldiga att registrera personuppgifter tex enligt bokföringslagen.
  5. Skydda intressen
    Det handlar om sådana intressen som är av avgörande betydelse för den registrerades eller någon annan persons liv, tex i akuta situationer då den registrerade inte kan lämna samtycke.
  6. Allmänt intresse eller myndighetsutövning
    Uppgiften ska regleras i EU-rätt eller svensk rätt.

Källa: Artikel 6 – Laglig behandling av personuppgifter i GDPR

och http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/rattslig-grund-for-personuppgiftsbehandling/


4. Vilka rättigheter har personen?

De personer vars uppgifter ni behandlar har ett antal rättigheter som bland annat är följande:

  • Rätt till information
    Information om hur ni kommer att använda personuppgifterna ska lämnas av er både när uppgifterna samlas in (direkt från personen eller indirekt från ett register och när den registrerade annars begär det. Information som ska finnas i samband med tex samtycke är bland annat:

    • identitet och kontaktuppgifter på den personuppgiftsansvarige
    • ändamålet för insamlingen och rättslig grund
  • Rätt till tillgång
    På begäran har personen rätt att få tillgång till sina personuppgifter och få veta hur dessa kommer att användas av företaget.  Informationen ska tillhandahållas kostnadsfritt i en lättillgänglig, skriftlig form, vilket kan vara i elektronisk form. Normalt sett ska informationen lämnas inom en månad.
  • Rätt till korrigering och radering
    Varje person har rätt att, ”utan onödigt dröjsmål”, få felaktiga uppgifter rättade och även i vissa fall raderade (”rätten att bli bortglömd”). På begäran ska uppgifterna raderas om bland annat något av följande skäl gäller:

    1. uppgifterna inte längre behövs för de ändamål som de samlades in för
    2. behandlingen grundar sig på samtycke och personen återkallar detta
    3. behandlingen sker för direktmarknadsföring och personen motsätter sig att uppgifterna behandlas
  • Rätt till begränsning av behandling
    I vissa fall har personen rätt att kräva att behandlingen av personuppgifter begränsas, t.ex. när personer anser att uppgifterna är felaktiga. Uppgifterna kan finnas kvar under en utredning men användningen ska begränsas.
  • Rätt till dataportabilitet
    Personen har rätt att överföra sina personuppgifter till en annan tjänsteleverantör och ni är skyldig att underlätta en sådan överflyttning av personuppgifter i ett allmänt använt och maskinläsbart format. (Om personen begär det och det är tekniskt möjligt ska detta ske direkt till den personuppgiftsansvarige.) En förutsättning är att det gäller stöd av ett samtycke eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana personuppgifter som den registrerade själv har lämnat.
  • Rätt att invända
    Lagen lyfter särskilt fram möjligheten att invända mot att uppgifterna används för direkt marknadsföring. Om denna invändning görs måste hanteringen av personuppgifterna avbrytas så snart företaget får denna begäran.

Källa: Artikel 12-20 i GDPR

och http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-registrerades-rattigheter/


Ert ansvar som Personuppgiftsansvarig

Inför införandet av GDPR i maj, 2018 bör ni bland annat gå igenom följande områden:

1. Kartlägg och etablera rutiner för personuppgifter
Kartlägg och dokumentera var i företaget som ni hanterar personuppgifter och identifiera var uppgifterna lagras, vilka som har tillgång till dem och om det föreligger några risker för uppgifterna. Spara inte mer information än nödvändigt och radera uppgifter som inte används. Skapa ett register som för varje område hanterar följande:

  • vem internt är ansvarig
  • vad används det till
  • vilka typer av personer och vilka uppgifter ingår
  • med vilken rättslig grund hanteras uppgifterna (se kap. 3 ovan)
  • hur tillgodoser ni personernas rättigheter, t.ex. rätt till information och radering (se kap. 4 ovan)

Se gärna vår kom-i-gång-guide»

2. Kontrollera er säkerhet
Se över era säkerhetsrutiner samt de IT-system som ni arbetar i. Bland annat bör ni:

  • begränsa åtkomsten till personuppgifter till de som behöver arbeta med dem. Skapa roller med olika behörighet som följer era arbetsrutiner
  • säkerställa goda rutiner för lösenord
  • använda kryptering vid kommunikation över internet (använd https:// i domännamnet)
  • kontrollera att logg finns för uppföljning av användare
  • säkerställa stöd för säkerhetskopiering
  • säkerställa rutin för att bekräfta att den person som begär uppgifter är den som den utger sig för att vara
  • säkerställ att rutinerna efterföljs och löpande uppdateras

3. Anmälan om personuppgiftsincident till datainspektionen
Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, måste ni anmäla den till Datainspektionen inom 72 timmar efter att ni fått vetskap om den. Ni kan också behöva informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri. Använder ni er av externa system som t.ex. ligger i molnet är det företaget Personuppgiftsbiträde och skyldig att underrätta er utan onödigt dröjsmål.

Källa: Artikel 33-34 i GDPR

4. Uppförandekod och certifiering
Dataskyddsförordningen uppmuntrar branschorganisationer och liknande att ta fram uppförandekoder för att specificera tillämpningen av förordningen och på så sätt underlätta för framförallt små och medelstora företag att följa förordningen. Uppförandekoder ska godkännas av och registreras hos Datainspektionen så ni kan kontrollera hos dem om det finns någon relevant sådan för er.


Vi på About Time är Personuppgiftsbiträde och stödjer er som Personuppgiftsansvarig

GDPR är strategiskt viktigt för oss och förutom att efterfölja den nya dataskyddsförordningen är vår målsättning att vara en källa för bra och saklig information om GDPR, samt att erbjuda bra funktionalitet i TimeWave som underlättar för Personuppgiftsansvariga.

Läs mer om vårt arbete för GDPR och säkerhet >


Affärssystemet TimeWave hanterar personuppgifter i enlighet med GDPR

Så stödjer TimeWave ert arbete och kontakter med slutkunder och anställda >

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Rulla till toppen