Varför införs GDPR?
Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.
För vilka gäller GDPR?
GDPR gäller för samtliga företag/myndigheter/föreningar och i vissa fall även privatpersoner som har verksamhet i ett EU-land eller med individer som befinner sig i ett EU-land. Den gäller all personuppgiftsbehandling i systematisk form, i princip all form av elektronisk hantering av personuppgifter, inklusive register, databaser och löpande text. Den kan även gälla viss manuell hantering, t ex register man har på papper.
Personuppgiftsansvarig och personuppgiftbiträde
Förordningen gäller för den personuppgiftsansvarige, dvs den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträde, dvs den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.
Både en personuppgiftsansvarig och ett personuppgiftsbiträde har alltså ansvar för att GDPR följs. Båda måste t ex föra register över behandling och ha ett eget ansvar för säkerhet. Använder du någon annan för att behandla dina personuppgifter så är du tvungen att ha ett skriftligt personuppgiftsbiträdesavtal med denne, tillsammans med en instruktion om hur biträdet får behandla de personuppgifter som du är ansvarig för.
Vad räknas då som personuppgifter?
En personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person (människa/fysisk person). Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person.
Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn, kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person.
Det är inte bara text som räknas som personuppgifter utan även bilder, ljudupptagningar, fingeravtryck, IP-adresser eller andra uppgifter som på ett annat sätt kan används till att identifiera en individ.
En uppgift om en juridisk person, t ex ett aktiebolag, är inte en personuppgift. Men namnet på en person som jobbar i ett företag kan vara en personuppgift.
Känsliga personuppgifter
Vissa kategorier av personuppgifter anses vara känsliga personuppgifter. Det gäller uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter samt uppgifter om hälsa. Här gäller ännu mer restriktiva regler.
Vad är en personuppgiftsbehandling?
En personuppgiftsbehandling är allting man kan göra med en personuppgift och några vanliga exempel är att samla in den, spara en uppgift, ändra, titta på, skriva ut, ta bort, förstöra m.m. Har du någon gång samlat, hämtat eller köpt in en personuppgift och har den i elektronisk form så kan du räkna med att du gör en personuppgiftsbehandling.
Säkert sätt
Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Gallring
Personuppgifter får inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.
Rättslig grund
Man har bara laglig rätt att behandla personuppgifter om man har en så kallad rättslig grund. De 4 olika grunder som man normalt kommer att använda sig av är samtycke, avtal, rättslig förpliktelse eller intresseavvägning.
Samtycke är ett sätt att hämta ett uttryckligt godkännande från kunden. Avtal ger dig rätt att behandla personuppgifter för att kunna uppfylla det ni ingått avtal om. Rättslig förpliktelse är t.ex. att man är tvungen att spara bokföringsunderlag i 7 år enligt bokföringslagen eller att man är tvungen att skicka in en inkomstdeklaration till Skatteverket. Intresseavvägning innebär att du anser att ditt intresse av att behandla uppgiften väger tyngre än den registrerades rätt till att inte bli behandlad, det kan t ex vara ifråga om direktreklam.
Den registrerades åtkomst till sina personuppgifter
Den registrerade har rätt att få tillgång till de uppgifter som företaget har registrerat om denne. Dessutom kan den registrerade begära att företaget ska rätta eller radera data som finns om denne. Den som har lämnat sina personuppgifter har även i vissa fall rätt att få ut uppgifterna i flyttbar form och använda uppgifterna på annat håll (dataportabilitet).
Dokumentation och information
Det finns ett antal saker du måste göra för att följa GDPR. Du måste t ex dokumentera alla personuppgiftsbehandlingar. En sådan dokumentation måste innehålla uppgifter om den rättsliga grunden för behandlingen, varför du behandlar uppgiften, hur länge du behandlar uppgiften och vilka personuppgifter som samlas in.
Ett exempel skulle vara att du vill hämtar in kunduppgifter för att kunna sälja en produkt till en ny kund. I ett sådant fall så är syftet att ni ska kunna göra affärer och att du kanske ska kunna leverera en vara hem till kunden. Du behöver alltså ha in namn och adress för att kunna skicka varan och du kanske behöver en e-post-adress för att kunna skicka en faktura eller kontakta kunden. Möjligen kan man även vilja ha ett telefonnummer för att kunna kontakta kunden vid frågor. Man får däremot inte samla in extra uppgifter som inte har med syftet att göra, t ex namn på andra personer som bor på samma adress.
Du måste uppge lagringstiden för det du hämtat in, vilket skulle kunna vara att du sparar uppgifterna så länge den personen är kund hos er. Den rättsliga grunden i detta är att uppgiften behövs för att ni ska kunna fullgöra avtalet.
Du måste också informera om vilka personuppgifter du samlar in, för vilket syfte och hur länge dessa sparas. Detta kan t ex göras på en hemsida, via e-post eller i ett avtal. Du måste även informera dina kunder om deras rätt att få sina uppgifter rättade eller raderade och om deras rätt att få ut de personuppgifter som de lämnat till dig genom registerutdrag och rätt att få ut uppgifterna i flyttbar form (dataportabilitet).
Här kan du kostnadsfritt ladda ner en excel-fil som hjälper dig i arbetet med att dokumentera
Här är en checklista för GDPR-arbetet för nedladdning i word-format
Sanktionsavgift
Både personuppgiftsansvariga och personuppgiftsbiträden kan drabbas av böter om man inte följer GDPR. Man kan bli tvungen att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning om man inte sköter sig.
Anmälan om dataintrång
Om det inträffar ett dataintrång eller någon annan incident som påverkar säkerheten måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva meddela de registrerade. Det kan t ex handla om personuppgifter som genom hackning eller slarv blivit stulna, exponerats felaktigt på internet, felaktigt förstörts eller ändrats.