Det är viktigt att känna till vilka krav som ställs upp i GDPR, om inte annat på grund av de höga sanktionsavgifter som kan följa för den som inte följer reglerna. Som ansvarig organisation (”personuppgiftsansvarig”) riskerar man som mest sanktionsavgifter på 20 miljoner euro eller fyra procent av den globala årsomsättningen. Dessutom kan enskilda personer som lidit skada av en felaktig personuppgiftsbehandling begära skadestånd i domstol.
Vad krävs för att få använda någons personuppgifter?
Innan företaget samlar in personuppgifter måste stöd hittas i GDPR. Det vanligaste är att man hittar stödet i någon av följande grunder:
Samtycke
Om ett godkännande ges från den berörda personen är det tillåtet att behandla personuppgifterna. Men då måste tydligt anges vilken information som kommer att behandlas och varför. Det är också viktigt att komma ihåg att ett samtycke kan dras tillbaka när som helst.
Avtal
Det finns många situationer då personuppgifter måste behandlas för att företaget ska kunna uppfylla ett avtal. Exempelvis måste som regel personuppgifter sparas i ett lönesystem för att arbetsgivaren ska kunna uppfylla anställningsavtalet med den anställde. Företaget måste också ha tillgång till personuppgifter om kunder och leverantörer för att avtal med dessa ska kunna uppfyllas. Här är det viktigt att begränsa uppgifterna till vad som behövs för att avtalet ska kunna uppfyllas.
Fullgörande av rättslig förpliktelse
I vissa fall är företaget skyldigt att bevara personuppgifter under en viss tid, exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen. Det är givetvis tillåtet att spara personuppgifter i sådana fall.
Intresseavvägning
Om den personuppgiftsansvariges intresse av att behandla personuppgifterna väger tyngre än en enskilds intresse av skydd för sitt privatliv kan den personuppgiftsansvarige få behandla personuppgifterna. Många gånger är det möjligt att behandla personuppgifter för marknadsföring och direktreklam med stöd av en intresseavvägning av detta slag. Men det är inte tillåtet att skicka direktreklam till någon som har motsatt sig detta.
Myndighetsutövning och allmänt intresse
Om behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning utgör detta ett skäl att få behandla personuppgifter.
Informationskrav
GDPR ställer upp omfattande krav på information till de personer vars personuppgifter behandlas. Den personuppgiftsansvarige måste bl.a. redogöra för varför personuppgifterna behandlas och vilket lagligt stöd som finns för behandlingen. Det finns också en skyldighet att informera om hur länge uppgifterna ska sparas och om de kommer att delas med någon annan.
Den som är personuppgiftsansvarig måste också upplysa den enskilde om ett antal rättigheter. Det finns exempelvis en rätt att få felaktiga uppgifter rättade och i vissa fall även raderade. En enskild har också rätt att få ett så kallat registerutdrag med information om personuppgiftsbehandlingen. Det finns ytterligare krav på information som måste lämnas. Ett enkelt sätt att uppfylla informationsskyldigheten är att ha en personuppgiftspolicy på företagets hemsida med all information som krävs.
Informationssäkerhet
Ett viktigt inslag i GDPR är att den personuppgiftsansvarige måste vidta lämpliga säkerhetsåtgärder för att i möjligaste mån förhindra det som i GDPR kallas personuppgiftsincidenter. En personuppgiftsincident kan vara allt från en hackerattack till att en anställd tappar bort en jobbmobil som innehåller personuppgifter. Om en incident inträffar ska den alltid dokumenteras. Ofta behöver företaget dessutom informera Integritetsskyddsmyndigheten senast inom 72 timmar efter att incidenten har upptäckts. Ibland måste även de personer som berörs av incidenten informeras.
Visa att ni gör rätt
GDPR ställer upp höga krav på företag och organisationer. Ett led i detta är att den personuppgiftsansvarige måste kunna visa att regelverket följs och på vilket sätt det görs. Därför är det viktigt att ha interna riktlinjer på plats som klargör hur företaget har tänkt i sitt dataskyddsarbete. Det krävs också färdiga rutiner för om en personuppgiftsincident inträffar eller om någon vänder sig till företaget för att få ett registerutdrag. En förutsättning för att de krav som ställs upp ska kunna uppfyllas är att den personuppgiftsansvarige har ordning på vilka personuppgifter som samlas in och i vilka system uppgifterna sparas.
Fakta:
Vad är en behandling av en personuppgift?
Som personuppgift räknas alla uppgifter som kan knytas till en levande person. Det kan exempelvis vara
- namn
- personnummer
- telefonnummer
- adress
- e-postadress
- Registreringsnumret på en bil, om det går att knyta till en fysisk person.
I princip all hantering av personuppgifter utgör en behandling av personuppgifter.
Tänk på detta när ni behandlar personuppgifter
- Säkerställ att ni har stöd i GDPR för behandlingen.
- Bestäm i förväg varför personuppgifterna samlas in. Dokumentera skälet för behandlingen och använd sedan inte personuppgifterna för helt andra ändamål.
- Behandla inte fler personuppgifter än vad som behövs. Det är inte tillåtet att spara personuppgifter bara för att ”det är bra att ha”.
- Se till att personuppgifterna är riktiga och uppdaterade.
- Gallra personuppgifterna när de inte behövs längre.
- Var noga med säkerheten. Se till att skydda personuppgifter från förlust, stöld eller it-angrepp.
- Dokumentera att ni följer reglerna genom riktlinjer och rutiner.
Persouppgiftsbiträden
Om ni låter någon annan organisation behandla personuppgifter för företagets räkning är den organisationen ett s.k. personuppgiftsbiträde. Det kan exempelvis handla om att företaget har anlitat ett marknadsföringsföretag som skickar reklam till företagets kunder, eller att företaget lagrar personuppgifter hos en IT-leverantör. Då krävs ett avtal med personuppgiftsbiträdet som reglerar ansvaret mellan parterna. Många personuppgiftsbiträden använder färdiga standardavtal.