GDPR – Sifferspecialisten

PERSONUPPGIFTER

Integritet och GDPR

Vad är GDPR?

EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen är en vidareutveckling av personuppgiftslagen (PUL) som gällt tidigare. GDPR ställer bland annat större krav på dokumentation och information från de som hanterar personuppgifter. Förordningen ska börja tillämpas 25 maj 2018.

Varför införs GDPR?

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.

För vilka gäller GDPR?

GDPR gäller för samtliga företag/myndigheter/föreningar och i vissa fall även privatpersoner som har verksamhet i ett EU-land eller med individer som befinner sig i ett EU-land. Den gäller all personuppgiftsbehandling i systematisk form, i princip all form av elektronisk hantering av personuppgifter, inklusive register, databaser och löpande text. Den kan även gälla viss manuell hantering, t ex register man har på papper.

Personuppgiftsansvarig och personuppgiftbiträde

Förordningen gäller för den personuppgiftsansvarige, dvs den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträde, dvs den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.

Både en personuppgiftsansvarig och ett personuppgiftsbiträde har alltså ansvar för att GDPR följs. Båda måste t ex föra register över behandling och ha ett eget ansvar för säkerhet. Använder du någon annan för att behandla dina personuppgifter så är du tvungen att ha ett skriftligt personuppgiftsbiträdesavtal med denne, tillsammans med en instruktion om hur biträdet får behandla de personuppgifter som du är ansvarig för.

Vad räknas då som personuppgifter?

Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn, kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person.

Det är inte bara text som räknas som personuppgifter utan även bilder, ljudupptagningar, fingeravtryck, IP-adresser eller andra uppgifter som på ett annat sätt kan används till att identifiera en individ.

En uppgift om en juridisk person, t ex ett aktiebolag, är inte en personuppgift. Men namnet på en person som jobbar i ett företag kan vara en personuppgift.

Känsliga personuppgifter

Vissa kategorier av personuppgifter anses vara känsliga personuppgifter. Det gäller uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter samt uppgifter om hälsa. Här gäller ännu mer restriktiva regler.

Vad är en personuppgiftsbehandling?

En personuppgiftsbehandling är allting man kan göra med en personuppgift och några vanliga exempel är att samla in den, spara en uppgift, ändra, titta på, skriva ut, ta bort, förstöra m.m. Har du någon gång samlat, hämtat eller köpt in en personuppgift och har den i elektronisk form så kan du räkna med att du gör en personuppgiftsbehandling.

Säkert sätt

Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Gallring

Personuppgifter får inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.

Rättslig grund

Man har bara laglig rätt att behandla personuppgifter om man har en så kallad rättslig grund. De 4 olika grunder som man normalt kommer att använda sig av är samtycke, avtal, rättslig förpliktelse eller intresseavvägning.

Samtycke är ett sätt att hämta ett uttryckligt godkännande från kunden. Avtal ger dig rätt att behandla personuppgifter för att kunna uppfylla det ni ingått avtal om. Rättslig förpliktelse är t.ex. att man är tvungen att spara bokföringsunderlag i 7 år enligt bokföringslagen eller att man är tvungen att skicka in en inkomstdeklaration till skatteverket. Intresseavvägning innebär att du anser att ditt intresse av att behandla uppgiften väger tyngre än den registrerades rätt till att inte bli behandlad, det kan t ex vara ifråga om direktreklam.

Den registrerades åtkomst till sina personuppgifter

Den registrerade har rätt att få tillgång till de uppgifter som företaget har registrerat om denne. Dessutom kan den registrerade begära att företaget ska rätta eller radera data som finns om denne. Den som har lämnat sina personuppgifter har även i vissa fall rätt att få ut uppgifterna i flyttbar form och använda uppgifterna på annat håll (dataportabilitet).

Dokumentation och information

Det finns ett antal saker du måste göra för att följa GDPR. Du måste t ex dokumentera alla personuppgiftsbehandlingar. En sådan dokumentation måste innehålla uppgifter om den rättsliga grunden för behandlingen, varför du behandlar uppgiften, hur länge du behandlar uppgiften och vilka personuppgifter som samlas in.

Ett exempel skulle vara att du vill hämtar in kunduppgifter för att kunna sälja en produkt till en ny kund. I ett sådant fall så är syftet att ni ska kunna göra affärer och att du kanske ska kunna leverera en vara hem till kunden. Du behöver alltså ha in namn och adress för att kunna skicka varan och du kanske behöver en e-post-adress för att kunna skicka en faktura eller kontakta kunden. Möjligen kan man även vilja ha ett telefonnummer för att kunna kontakta kunden vid frågor.  Man får däremot inte samla in extra uppgifter som inte har med syftet att göra, t ex namn på andra personer som bor på samma adress.

Du måste uppge lagringstiden för det du hämtat in, vilket skulle kunna vara att du sparar uppgifterna så länge den personen är kund hos er. Den rättsliga grunden i detta är att uppgiften behövs för att ni ska kunna fullgöra avtalet.

Du måste också informera om vilka personuppgifter du samlar in, för vilket syfte och hur länge dessa sparas. Detta kan t ex göras på en hemsida, via e-post eller i ett avtal. Du måste även informera dina kunder om deras rätt att få sina uppgifter rättade eller raderade och om deras rätt att få ut de personuppgifter som de lämnat till dig genom registerutdrag och rätt att få ut uppgifterna i flyttbar form (dataportabilitet).

Sanktionsavgift

Både personuppgiftsansvariga och personuppgiftsbiträden kan drabbas av böter om man inte följer GDPR. Man kan bli tvungen att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning om man inte sköter sig.

Anmälan om dataintrång

Om det inträffar ett dataintrång eller någon annan incident som påverkar säkerheten måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva meddela de registrerade. Det kan t ex handla om personuppgifter som genom hackning eller slarv blivit stulna, exponerats felaktigt på internet, felaktigt förstörts eller ändrats.

Vad räknas som en personuppgift enligt GDPR?

En personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person (människa/fysisk person). Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person. Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn, kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person. Det är inte bara text som räknas som personuppgifter utan även bilder, ljudupptagningar, fingeravtryck, IP-adresser eller andra uppgifter som på ett annat sätt kan används till att identifiera en individ.

En uppgift om en juridisk person, t ex ett aktiebolag, är inte en personuppgift. Men namnet på en person som jobbar i ett företag kan vara en personuppgift.

Vad räknas som en personuppgiftsbehandling enligt GDPR?

Gäller den nya dataskyddsförordningen (GDPR) bara företag eller även privatpersoner?

GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter.

Om en kund hävdar rätten att bli glömd enligt dataskyddsförordningen (GDPR) måste vi radera allt om den personen?

Rätten att bli bortglömd gäller bara om:

* uppgifterna inte längre behövs för de ändamål som de samlades in för

* behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket

* behandlingen grundar sig på en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den registrerades intresse.

* personuppgifterna har behandlats olagligt.

* den registrerade invänder mot behandling för direktmarknadsföringsändamål.

* En kund kan inte begära att få bli bortglömd om du måste behålla personuppgifter för att uppfylla en rättslig skyldighet. Ett exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt bokföringslagen.

Kan man inte skicka lönespecifikationer med mail då den nya dataskyddsförordningen (GDPR) börjar gälla 25 maj 2018?

Enligt GDPR så spelar samtycke om att skicka lönespecifikationer via e-post ingen roll pga säkerhetsbristerna med e-post. Lönespecifikationer riskerar att innehålla känsliga personuppgifter (främst kopplat till den anställdes hälsa, t ex sjukavdrag, sjuklön, osv) och är därmed olämpliga att skicka med vanlig mail.

Skulle inte lönespecifikationerna innehålla uppgifter som klassificeras som känsliga är det förvisso inget som hindrar att mail fortsätter användas men det kan ju vara ett bra tillfälle att passa på att byta till en bättre metod (och då menar vi inte att återgå till lönespecifikationer på papper som kanske skickas med posten).

Det är viktigt att hålla en hög säkerhetsnivå, och det är arbetsgivaren som är ansvarig för att rätt säkerhetsnivå hålls. En webbtjänst eller app som kräver inloggning för åtkomst är en bra säkerhetsnivå.

Är det tillåtet enligt dataskyddsförordningen (GDPR) att skicka fakturor via mail? Jag har en fastighetsägare som kund och deras hyresavier innehåller hyresgästens personnummer?

Fakturor går normalt bra att skicka via mail (eftersom de sällan innehåller några känsliga personuppgifter såsom t ex hälsa, politiska åsikter, religion mm). Personnummer räknas inte som en känslig personuppgift men däremot så får personnummer bara behandlas (t ex skickas med e-post) om det är klart motiverat med hänsyn till ändamålet med behandlingen.

Om inte hyresgästens personnummer behöver anges på fakturorna i detta fall så torde det inte vara motiverat att ha med det. Då bör man plocka bort personnumret. Ett annat alternativ är att utesluta de fyra sista siffrorna i personnumret för då räknas det inte som ett personnummer enligt GDPR.