GDPR – Den nya dataskyddsförordningen

Den 25 maj 2018 träder den nya dataskyddsförordningen i kraft (GDPR). GDPR kommer gälla som lag i alla EU:s medlemsländer.

Bakgrunden till lagen är att stärka rättigheterna för den enskilde när det kommer till personlig integritet. Lagen kommer innebära en hel del förändringar för er som hanterar och behandlar personuppgifter.

Några av grundpelarna i GDPR är bl.a

• Samtycke.
• Rätten att bli glömd.
• Samla bara in uppgifter för ett specifikt ändamål.
• Spara inte uppgifterna längre än du behöver.
• Se till att ni har lagstöd för att samla in den data ni samlar in.

Vad är då en personuppgift?

Detta kan verka vara enkelt att besvara, men så är det dessvärre inte.
En personuppgift är all slags information som enskilt eller i kombination kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn, adress och telefonnumer. Men även en bild, ett registreringsnummer eller en kombination av uppgifter kan vara personuppgifter. Exempelvis kan ålder, kön, antal barn och kommun i kombination vara tillräckligt för att man ska kunna avidentifiera en privatperson – alltså räknas dessa uppgifter som personuppgifter.
Däremot behöver dessa uppgifter inte anses som personuppgifter separat.

Detta innebär att ni i all datainsamling bör ställa er frågorna:

• Behöver vi dessa uppgifter och vad ska vi använda datan till?
• Har vi lagstöd för att samla in dessa uppgifter?
• Är de uppgifter vi samlar in ens en personuppgift?

När får en personuppgift samlas in?

Även detta är en ganska svår fråga. Men för att förenkla det lite, så får man samla in personuppgifter när något eller flera av följande kriterier uppfylls.

Du får samla in personuppgifter om du har:

• Rättsliga förpliktelser, ex. för att uppfylla bokföringsskyldigheten.
• Avtal, anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att du får registrera och hantera personuppgifter. Men samla bara in de uppgifter du behöver för att uppfylla avtalet.
• Samtycke, Om du ber personen i fråga om samtycke att samla in personuppgifter så får du lagra dessa. Men samtycket måste vara tydlig i sin formulering, vilka uppgifter kommer ni att lagra, vart och varför.
• Intresseavvägning, Du har också möjlighet att hantera personuppgifter efter en så kallad intresseavvägning. I rådande lagstiftning ”PUL” har företag ex. rätt att göra en intresseavvägning för att hantera personuppgifter i exempelvis marknadsföring och direktreklam. (OBS: Man får ej skicka direktreklam till någon som sagt nej till det). I GDPR kommer man att kunna hantera personuppgifter med grund i intresseavvägning i de fall intresseavvägningen visar att intresset av att hantera personuppgifterna väger tyngre än den enskildes rätt till privatliv.Hur detta kommer appliceras i GDPR är – oss veterligen – oklart.

Hur detta påverkar er verksamhet?

Som vi nämner ovan kommer det både i stort och smått vara svårt att så här i förhand säga hur er verksamhet kommer att påverkas av GDPR. Det är även svårt att förutspå hur GDPR kommer att efterföljas, tolkas och hanteras.
Det är datainspektionens ansvar att följa upp GDPR i Sverige.

Oavsett hur GDPR kommer efterföljas och vilka straff, viten eller andra represalier som döms ut till företag som ej följer de föreskrifter som finns, är det viktigt att ni ser över hur ert företags hantering av personuppgifter sköts. En bra start kan vara att kika på följande delar.

• Vilka personuppgifter samlar vi in och varför?
• Har vi samlat in denna information på ett rättvist sätt och eller med samtycke från privatpersonen i fråga?
• Behöver vi ta några ytterligare steg för att ha stöd i lagen för att lagra denna/dessa personuppgifter?
• Lagrar vi personuppgifterna säkert, exempelvis krypterat och under så säkra omständigheter vi bara kan?
• Lagrar vi några speciellt känsliga personuppgifter, exempelvis, uppgifter om sexuell läggning, blodgrupp, politisk åsikt eller annan sjukvårdsdata? Om ja på denna fråga, lagrar vi det på ett sätt som är säkert enligt standard för att processa och lagra denna typ av data?
• För vi ut informationen ur EU och har vi adekvat säkerhet på plats för att kunna skydda individen?
• Har vi en plan för hur vi ska möta och hantera GDPR?
• Har vi tillräcklig budget och tid för att kunna säkerställa hanteringen av personuppgifter?
• Måste vi sätta upp en ”Data Privacy Impact Assessment”?
• Har vi något dataskyddsombud i företaget?
• Implementerar vi ”Privacy by design”, där vi proaktivt och systematiskt överväger den potentiella påverkan vår data kan ha på den enskilda individen?
• Har vi funderat på hur vi hanterar våra anställdas personuppgifter?
• Har vi nödvändiga säkerhetslösningar / systemstöd på plats för att stödja GDPR och våra övriga riktlinjer när det kommer till personuppgifter?
• Har vi process på plats för att hantera frågor om personuppgifter från de registrerade? Exempelvis för att ändra, radera eller få access till sin data.
• Är vår personal informera och utbildade i GDPR och dess innebörd?
• Ser vi över och gallrar i den data vi lagrar med givna intervaller?
• Är våra interna processer dokumenterade?

Det finns en rad övriga saker du kan behöva se över, men genom att kika på ovanstående delar har du kommit en bra bit i tänket kring personuppgifter och GDPR.

Sammanfattningsvis,
Med detta sagt, GDPR kommer att påverka alla företag. Framförallt om er verksamhet hanterar större mängder personuppgifter. Det kommer även påverka er digitala närvaro, samlar ni in personuppgifter på er hemsida? I er webbshop eller för er digitala marknadsföring? Även här kliver GDPR in och styr lite hur och i vilken grad man får göra detta. Så vår önskan till er – ta tag i GDPR redan nu, vänta inte.

Vi har påbörjat vårt interna GDPR-arbete, och kommer ständigt arbeta för att förbättra och förtydliga vårt arbete med personuppgifter. Om ni har frågor gällande GDPR och er digitala närvaro, tveka inte att höra av er så ska vi försöka att hjälpa er vidare. Vi vill dock poängtera att vi inte på något sätt är jurister eller ska anses som professionellt sakkunniga. Utan är precis som ni(?), ett företag som omfattas av och arbetar för att uppfylla de krav som ställs på säkerhet för individen.

Vi har bl.a påbörjat en kort informativ text om vad och hur vi arbetar med GDPR på vår hemsida, samt vart och varför vi – eventuellt – lagrar personuppgifter. Detta är endast ett av många led i vårt arbete för att uppfylla de krav GDPR ställer.
Denna artikel finner ni här. 

Allt gott / Lightweb

OBS:
Denna text är bör ses som rent informativ och ska inte förknippas eller tas som juridisk rådgivning. För att anpassa er verksamhet till GDPR insisterar vi på att ni anlitar en jurist. I ett nötskal: Vi är ingen juridisk instans och vill att ovan text ska tolkas rent informativt och inte att ni ska luta er mot denna text juridiskt eller rekommendation för någon speciell juridisk förståelse.