Vad är en personuppgift?
Egentligen kan man säga att alla uppgifter som direkt eller indirekt kan kopplas till en person är en personuppgift. Normalt tänker man då på personnummer, namn och adress. Men även foton på personer klassas faktiskt som personuppgifter.
Vad säger du om ett fordons registreringsnummer då? Jo, det kan faktiskt också vara en personuppgift – om det går att knyta till en person. Vilket innebär att registreringsnumret för en företagsbil som används av många olika anställda normalt inte är en personuppgift, eftersom det inte går att knyta registreringsnumret till en person.
Det finns också känsliga personuppgifter...
Det talas också om känsliga personuppgifter – i GDPR skiljer man mellan dessa och vanliga personuppgifter. Om företaget behandlar känsliga personuppgifter måste det finnas övertygande skäl till registreringen och man måste kunna visa detta. Dessutom måste känsliga personuppgifter ha ett extra bra skydd så att inga obehöriga kan komma åt dem.
Känsliga personuppgifter är t ex en persons sexuella läggning, religion, politiska åsikt och etniska ursprung. Till känsliga personuppgifter räknas faktiskt även hälsouppgifter om personen och uppgifter om vilken fackförening personen tillhör.
När får du samla in personuppgifter?
För att få samla in personuppgifter måste du ha något som kallas rättslig grund. Det innebär att du har stöd i lagen för insamlandet. Personuppgifter som samlas in med stöd av en rättslig grund får senare inte användas för helt andra syften.
De viktigaste rättsliga grunderna som företag kan använda är:
Samtycke
Företaget måste lämna tydlig information om vilka uppgifter som samlas in och vad de ska användas till när du ber en person om att få registrera uppgifter om personen. Du måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.
Avtal
Det här kan vara t ex ett anställningsavtal. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet, inte fler.
Rättslig förpliktelse
Detta innebär att personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse, som att t ex följa bokföringsskyldigheten som anges i bokföringslagen.
Intresseavvägning
Vid intresseavvägning måste företaget visa att det finns ett stort behov av att hantera uppgifterna och att det behovet väger tyngre än den enskilda personens rätt till skydd för uppgifterna. Om den registrerade invänder mot pågående behandling måste du göra en ny intresseavvägning och upphöra med behandlingen om det inte finns väldigt starka (tvingande) skäl.
Kom ihåg att informera!
När du samlar in personuppgifter måste du informera personen som du samlar in information om. Enligt GDPR ska du tala om att du samlar in personuppgifter, vilka uppgifter det handlar om och varför du gör det.
Detta ska du informera om:
• Vem som är ansvarig över personuppgifterna (vanligtvis ditt företag)
• Varför uppgifterna samlas in och hur de ska användas
• Hur länge du tänker spara uppgifterna
• Om du har angett samtycke som rättslig grund måste du informera om att personen alltid har rätt att dra tillbaka sitt samtycke
• Att en person som du registrerar personuppgifter om har rätt att begära att få ut sina uppgifter för att kontrollera vad som finns registrerat
• Att ditt företag är skyldigt att rätta felaktiga, ofullständiga eller missvisande uppgifter
Tänk på att informationen också ska vara lätt att förstå, det vill säga både tydlig och begriplig och gärna skriftlig.
Tips!
Vill du veta mer rekommenderar vi boken Dataskyddsförordningen GDPR.