Att förstå och arbeta med dataskyddsfrågor är en nödvändighet för alla verksamheter. Dock är det inte alltid enkelt att ha kontroll över det, samtidigt som den vanliga verksamheten pågår och kräver mycket av er uppmärksamhet. Vi har samlat de vanligaste frågorna för att guida er genom GDPR och vad ni har för ansvar som verksamhet.
Vad är en personuppgift?
Personuppgifter är all information som på något sätt kan identifiera en person. Ibland kan det vara svårt att avgöra vad som är en personuppgift eftersom begreppet kan omfatta mer än man först tänker på.
Namn och personnummer är exempel på personuppgifter som brukar vara lätta att känna igen. Den här typen av personuppgifter kallas för direkta personuppgifter eftersom informationen gör det möjligt att direkt peka ut en individ.
Information som är indirekt kopplad till en person kan också räknas som personuppgifter. Denna typ av personuppgifter kallas därför för indirekta personuppgifter, som ibland kan vara svårare att urskilja.
Med hjälp av en indirekt personuppgift så kan man ta reda på vem någon är. Till exempel ett kundnummer eller anställningsnummer som med en sökning i ett register berättar vem personen är.
Vad menas med behandling av personuppgifter?
Behandling av personuppgifter inkluderar i princip allt som görs med en personuppgift. Exempel på behandlingar är:
- Insamling
- Lagring
- Utskrift
- Utlämning
- Publicering på hemsida
- Läsning
- Gallring
Informationen behöver inte vara ordnad i ett register för att dataskyddsförordningen ska gälla, även enstaka personuppgifter i en löpande text räknas som behandling av personuppgifter.
Vad innebär behandling av personuppgifter för företag?
Alla företag utför behandling av personuppgifter i liten eller stor utsträckning. Det finns ett antal regler som ni behöver känna till för att se till att ni behandlar personuppgifterna på rätt sätt. Se till att inventera och dokumentera vilka personuppgifter ni hanterar, hur ni samlar in dem och till vem de lämnas ut.
Det är viktigt att ert företag uppfyller vissa rättigheter som de registrerade har. Varje individ har bland annat rätt att:
- få utförlig information om hur dennes personuppgifter behandla
- begära och få tillgång till en kopia av alla personuppgifter som finns hos er (ofta kallat registerutdrag)
- få felaktiga personuppgifter rättade
- få sina personuppgifter raderade under vissa förutsättningar
- invända mot att personuppgifterna används för direktmarknadsföring
Vilka personuppgifter omfattas av GDPR?
Alla personuppgifter omfattas av GDPR. Det som först kommer på tal är ofta namn och personnummer men det omfattar mycket mer än så. Några andra exempel är anställningsnummer, bilder på människor och cookies. En del uppgifter är mer integritetskänsliga än andra. Känsligheten spelar roll för hur de får användas och hur starkt skydd som krävs.
Vem är personuppgiftsansvarig i vår verksamhet?
Vid behandling av personuppgifter finns det alltid någon som är personuppgiftsansvarig. Organisationen som bestämmer vad personuppgifterna ska användas till och hur de ska behandlas, är också ansvarig för personuppgifterna.
I de flesta fall är det en juridisk person som är personuppgiftsansvarig, även om det också händer att enskilda fysiska personer i vissa sammanhang är personuppgiftsansvariga.
När är behandling av personuppgifter tillåtet?
För att det enligt GDPR ska vara tillåtet att behandla personuppgifter för en verksamhet måste det finnas ett syfte med behandlingen. Det är inte tillåtet att spara uppgifter “i fall att” de skulle kunna vara användbara framöver, personuppgifterna måste ha ett syfte vid det tillfället de samlas in. Exempelvis behöver ett företag som arbetar med e-handel samla in adress och kontaktuppgifter för att kunna avisera om och skicka ut paket, men har inget behov av att samla in bilder på sina kunder.
Förutom ett tydligt syfte så krävs också en så kallad rättslig grund för att det ska vara tillåtet att behandla personuppgifter. De rättsliga grunderna finns listade i artikel 6 i GDPR. Många tror att det alltid krävs ett samtycke, men samtycke är bara ett av flera alternativ som man kan grunda personuppgiftsbehandlingen på. Andra exempel är ett avtal, en rättslig förpliktelse eller ett berättigat intresse.
Vad räknas som känsliga personuppgifter enligt GDPR?
Vissa särskilda kategorier av personuppgifter räknas som känsliga personuppgifter. För dessa kategorier finns särskilda regler och begränsningar. De känsliga personuppgifterna är:
- Uppgifter som avslöjar etniskt ursprung
- Uppgifter som avslöjar politiska åsikter
- Uppgifter som avslöjar religiös eller filosofisk övertygelse
- Uppgifter om medlemskap i fackförening
- Uppgifter om hälsa
- Uppgifter om sexualliv eller sexuell läggning
- Genetiska uppgifter, exempelvis DNA-profiler
- Biometriska uppgifter för att entydigt identifiera en fysisk person, exempelvis fingeravtryck eller ansiktspunkter.
Hit räknas även uppgifter som indirekt kan avslöja information som hör till någon av dessa kategorier, så som en specifik matpreferens eller en ansökan om särskilt parkeringstillstånd.
Vad innebär behandling av känsliga personuppgifter?
Som utgångspunkt är det förbjudet att behandla känsliga personuppgifter. Den personuppgiftsansvariga behöver hitta ett passande undantag som ska gälla för den aktuella behandlingen. Undantagen finns listade i artikel 9 i GDPR.
Ett exempel på undantag kan vara att den registrerade har lämnat samtycke till behandling av en känslig personuppgift för ett eller flera specifika ändamål. Det är dock generellt enklast att låta bli att behandla känsliga personuppgifter, det brukar vara svårt att både hitta rättslig grund och ett passande undantag.
Vad är en personuppgiftsincident och hur ska en sådan hanteras?
En personuppgiftsincident är en händelse där enskilda personer har utsatts för risker, enkelt uttryckt, på grund av att deras personuppgifter har äventyrats på något sätt. Det kan vara allt från en hackerattack till en borttappad mobil eller ett mail som skickats till fel mottagare. En personuppgiftsincident ska som regel anmälas till Integritetsskyddsmyndigheten inom 72 timmar efter att man fått vetskap om den. Undantaget är om det är osannolikt att incidenten innebär en risk för individerna vars personuppgifter påverkas. Om det som inträffat medför en hög risk för de personer vars personuppgifter är äventyrade ska de också informeras om det som hänt.
Vad är en registerförteckning och vad ska den innehålla?
Enligt GDPR är de flesta organisationer skyldiga att systematiskt dokumentera sina behandlingar av personuppgifter. Dokumentationen brukar kallas för en registerförteckning eller ett register över behandlingar. Förutom att det faktiskt är ett lagkrav kan ett sådant register underlätta för er organisation att få kontroll över era personuppgiftsbehandlingar. Utan den kontrollen är det mycket svårt att leva upp till några lagkrav över huvud taget.
Registret ska innehålla samtliga behandlingar av personuppgifter som er organisation utför, med bland annat beskrivning av behandlingen och vad syftet är.