Enkla grunder i dataskydd

Ny EU-lagstiftning reglerar behandling av personuppgifter

Nästa år får Sverige och övriga EU en ny gemensam lagstiftning som reglerar hur bland annat företag får behandla personuppgifter. En nyhet i denna dataskyddsförordning är kännbara sanktionsavgifter om man bryter mot reglerna, något som har fått många företag att fundera över hur de hanterar och skyddar personuppgifter. 

GDPR
Dataskyddsförordningen kallas kort för GDPR vilket står för General Data Protection Regulation. Förordningen börjar tillämpas i maj 2018 och ersätter då den svenska personuppgiftslagen. Här följer en enkel grundkurs i dataskydd med fokus på mindre företag.

Vad är en personuppgift?
Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Foton på personer klassas som personuppgifter och till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter. Ett bolagsnummer är ofta inte en personuppgift om det inte är en enskild näringsverksamhet. Registreringsnumret på en bil är det om det går att knyta till en fysisk person medan en firmabil kanske inte är det.


Sexualliv och religion
I dataskyddsförordningen skiljer man på ”vanliga” och ”känsliga” personuppgifter. Känsliga är sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan till exempel vara sjukfrånvaro, graviditet och läkarbesök. Normalt är det förbjudet att hantera sådana personuppgifter men det finns undantag från förbudet. Känsliga uppgifter måste också skyddas mer än andra uppgifter.

 
Nytt i förordningen
Genetiska uppgifter kommer räknas som känsliga personuppgifter. Samma sak gäller biometriska uppgifter som används för att identifiera en fysisk person. 

 
Men är det verkligen så nytt?
I Sverige har vi haft lagstiftning sedan 1973 då datalagen trädde i kraft. Det var världens första nationella datalag. I grunden innehåller GDPR samma regler och principer men det finns nyheter.

NÄR FÅR PERSONUPPGIFTER SAMLAS IN?

Uppgifter som samlas in för ett visst syfte, får sedan inte användas för helt andra syften. Man måste också ha stöd i förordningen för att hantera personuppgifter. Det finns ett par olika ”rättsliga grunder” som företag kan använda. 

De viktigaste är:
Rättslig förpliktelse
I vissa fall är företag skyldiga att registrera personuppgifter, exempelvis bokföringsskyldigheten i bokföringslagen.
• Avtal
Anställningsavtal, kundavtal och leverantörsavtal är exempel där företag måste registrera och hantera personuppgifter. Men bara de som behövs för att uppfylla avtalet.
Samtycke
Be personen ifråga att få registrera uppgifter om honom/ henne. Det kallas för att få samtycke. Personen måste få tydlig information om vilka uppgifter som samlas in och vad de ska användas till för att sedan kunna ge sitt godkännande.
Intressevägning
Det är möjligt att hantera personuppgifter om företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv. (Man får ej skicka direktreklam till någon som sagt nej till det).

 

ATT TÄNKA PÅ

Informera mer
Vid insamling av uppgifter måste personen i fråga informeras. I förordningen finns en lista över vilken information som ska ges. Kortfattat ska ni tala om att ni samlar in personuppgifter, vilka uppgifter det handlar om och varför ni gör det. Ska uppgifterna lämnas vidare till andra måste ni tala om det.

Spar mindre
När en personuppgift inte längre behövs för det syfte de en gång samlades in för, så ska de tas bort. För ett företag innebär det till exempel att uppgifter om personer som inte längre är kunder eller leverantörer måste tas bort ur IT-systemen. I vissa fall kan de bevaras för att fullgöra eventuella garantiåtaganden. 

Det kan finnas krav i annan lagstiftning som innebär att uppgifterna måste sparas en viss tid, till exempel för bokförings- och arkivändamål.

Se över säkerheten
En ”personuppgiftsincident” ska rapporteras till Datainspektionen. Det kan exempelvis vara ett USB-minne med personuppgifter som tappats bort, ett dataintrång på företagets servrar eller en anställd som obehörigt tagit del av personuppgifter. Undvik incidenter genom att se över säkerheten i era IT-system!

Att spara kunders och leverantörers intressen
För att registrera uppgifter som inte behövs för avtal såsom fritidsintressen, allergier etc. krävs personens samtycke. Men, man måste också se till att uppgifterna är relevanta för kundrelationen. Annars får de inte registreras.
 
Miljonböter 
Datainspektionen kan besluta att företag som inte följer reglerna i GDPR ska betala en administrativ sanktionsavgift. Sanktionsavgiften kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen.
 
Ordning på torpet
Alla företag och organisationer är skyldiga att ha ett register som beskriver hur man hanterar personuppgifter. Där ska uppges vem som är ansvarig för ett visst register eller IT-system, vad det används till, vilken typ av personer förekommer i det, vilken typ av uppgifter och med vilken rättslig grund uppgifterna hanteras.

 

MER OM DATASKYDD

Här tog vi upp de viktigaste grunderna i dataskydd. Men vi tar inte upp alla krav och bedömningar som kan bli aktuella då personuppgifter samlas in och hanteras. 
 
Läs mer om GDPR här: www.datainspektionen.se/ dataskyddsreformen