GDPR – Allt du behöver veta!

Det kan inte ha undgått någon att fredagen den 25 maj är en dag som företag har fasat inför. Dagen då den nya dataskyddsförordningen träder i kraft – GDPR. Det står kort och gott för General Data Protection Regulation och är en förordning som gäller på EU-nivå. Man vill att hela EU ska förhålla sig till samma standard av dataskydd.

GDPR – 8 grundprinciper

  1. Man får endast behandla personuppgifter om man uppfyller kraven i lagen.
  2. Man får endast samla in personuppgifter för angivet syfte.
  3. Man får endast samla in de uppgifter som är nödvändiga för syftet.
  4. Personuppgifter måste hållas korrekta och uppdaterade.
  5. När syftet är uppnått ska personuppgifterna raderas eller anonymiseras.
  6. Personuppgifter ska förvaras säkert så att de inte kan ändras eller stjälas.
  7. Man ska kunna bevisa att man uppfyller dessa krav.
  8. En personuppgiftsansvarig på varje organisation (företag, myndighet, stiftelse eller förening) bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Denne ska även bistå den som vill ha hjälp med sin data och personuppgifter.

Vad är en personuppgift?

Enkelt och avskalat beskrivet kan man säga att alla uppgifter som direkt eller indirekt kan kopplas till en person räknas som en personuppgift. Exempel på personuppgifter är personnummer, namn och adress. Bilder och filmer klassas också som personuppgift eftersom att man kan identifiera en person med hjälp av det. Även ett fordons registreringsnummer kan räknas som personuppgift om det går att knyta till en person. Är det ett aktiebolag som står på bilen behöver det alltså inte att räknas som en personuppgift.

Känsliga personuppgifter

I GDPR skiljer man på vanliga personuppgifter och känsliga personuppgifter. Om ett företag ska hantera känsliga personuppgifter så måste det finnas övertygande skäl till registreringen och man måste kunna uppvisa bevis på detta. Det krävs dessutom extra bra skydd för dessa känsliga personuppgifter så att ingen obehörig kan komma åt dem. Exempel på känsliga personuppgifter är sexuell läggning, religion, politisk åsikt och etniskt ursprung. Även hälsouppgifter och vilken fackförening personen tillhör räknas som känsliga personuppgifter.

Är bilder och filmer personuppgifter?

Tidigare reglerades bilder och filmer i PUL (personuppgiftslagen) och marknadsföringslagen. Nu kommer alltså även bilder och filmer att ingå i Dataskyddsförordningen. Det kommer med andra ord att ställas krav på att avsändaren kan påvisa rättslig grund att de behandlade har informerats och att det förs ett register över behandlingen.

Tips! Läs mer om det i artikeln GDPR – Bilder på personer. Vad gäller?

Varför införs GDPR?

Syftet är helt enkelt att säkerställa skyddet för fysiska personers personuppgifter och att man ska få större kontroll över sina uppgifter. Samtidigt är tanken att det ska underlätta för företag i och med att de endast har en lag att förhålla sig till om de bedriver verksamhet i flera olika EU-länder.

Rätten att bli glömd

En kund kan inte begära att få bli bortglömd, d v s raderad, om du måste behålla personuppgifter för att uppfylla en rättslig skyldighet. T ex det som ingår i bokföringen som ska sparas i minst 7 år, enligt bokföringslagen. Det gäller även lagar kring finansiella tjänster som bank och finans där det finns lagar som kräver viss dokumentering. Rätten att bli glömd gäller:

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
  • Om behandlingen grundar sig på den enskilde individens samtycke och denne återkallar det
  • Om behandlingen grundar sig på berättigat intresse (legitimate interest) som den registrerade individen bestrider och som avgörs vara ogiltigt
  • Om personuppgifterna har behandlats olagligt

Gäller GDPR endast företag eller även privatpersoner?

Det gäller för i princip alla typer av verksamheter och oavsett vem som utför behandlingen av personuppgifterna. Det gäller för alla typer av företag, myndigheter, organisationer, stiftelser och föreningar. Däremot så finns det en del undantag, till exempel för privatpersoners egen privata behandling av andra personuppgifter.

Utbilda personalen i GDPR och rutiner

Du bör utbilda personalen i rutiner som rör GDPR. Anordna därför interna utbildningar där ni inrättar datasäkerhetspolicys för att sprida kunskapen och ha något att luta er mot. Det kan vara allt från hur ni hanterar nyhetsbrev till att ni inte bör ta med jobb hem på USB eller andra enheter för att undvika att något hamnar i

Ställ frågor både till dig själv och till personalen, t ex:

  • Vilka uppgifter får ni som företag spara eller inte och på vilket sätt?
  • Vad får ni använda i marknadsföring och vad får ni inte använda?
  • Hur agerar ni om någon vill bli bortglömd?
  • Eller ännu värre, hur agerar ni om ni bryter mot GDPR?

Läs mer på Datainspektionen.se

När får jag samla in personuppgifter?

Insamling av personuppgifter får endast samlas in om du har rättslig grund. Det innebär att du måste ha stöd i lagen för att samla in uppgifterna. De viktigaste rättsliga grunderna för att samla in personuppgifter är:

  • Samtycke
    Företaget ska lämna tydlig information om exakt vilka uppgifter de samlar in och vad de ska användas till. Du måste kunna visa ett giltigt samtycke att den registrerade personen har lämnat sitt samtycke.
  • Avtal
    Gäller för t ex anställningsavtal. Arbetsgivaren får däremot bara registrera de personuppgifter som behövs för att uppfylla avtalet. Så personnummer och adress går bra men inte religion eller sexuell läggning.
  • Rättslig förpliktelse
    Som vi tidigare skrev om så kan det finnas andra lagar som kräver viss dokumentation för att de lagarna efterlevs korrekt. Som t ex bokföringslagen.
  • Intresseavvägning
    Om man väljer att använda sig av intresseavvägning för att samla och spara personuppgifter så måste man visa att det finns ett stort behov av att hantera dessa. Samt att behovet väger tyngre än den enskilde personens rätt till skydd för uppgifterna. Om den som är registrerad skulle invända mot pågående behandling måste du göra en ny intresseavvägning och om du inte har väldigt starka skäl också avbryta behandlingen.

Informera om GDPR

Samlar du in personuppgifter måste du informera personen om att du du gör det. Du ska tala om att du gör det, varför du gör det och vilka uppgifter du samlar in. Informera om:

  • Vem som är ansvarig över personuppgifterna.
  • Varför personuppgifterna samlas in och hur de uppgifterna ska användas.
  • Hur lång tid du tänker spara uppgifterna. Till exempel 12 månader.
  • Har du angett samtycke som rättslig grund ska du informera om att personen alltid har rätt att dra tillbaka sitt samtycke, få sina uppgifter raderade eller få se vilka uppgifter som sparats.
  • En person som du har registrerat personuppgifter för har rätt att begära att få ta del av sina uppgifter för att på så sätt kontrollera vad som finns sparat.
  • Ditt företag är skyldigt att rätta felaktiga, ofullständiga eller missvisande personuppgifter.

Du bör göra en landningssida för din säkerhet- och integritetspolicy. Det finns tips och mallar på hemsidor som Datainspektionen, Företagarna, Driva-Eget, etc.

Qreds säkerhet och integritetspolicy

Vi vill att du ska känna dig trygg hos oss och vi tar din säkerhet och integritet på största allvar. Därför använder vi oss av samma säkerhetslösningar som de ledande bankerna och all data är krypterad med några av de bästa krypteringsmetoderna som finns. Vi arbetar dagligen för att motarbeta bedrägerier och dataintrång tillsammans med myndigheter. Dessutom så sparar vi inga lösenord och varken vi eller våra partners kan ändra uppgifter eller genomföra transaktioner från ditt bankkonto. All kommunikation mellan Qred och din webbläsare krypteras med 256-bitars SSL-verifikat från Geotrust. Så du kan känna dig trygg när du ser den gröna adressraden – precis som hos din bank.

Lycka till med företagandet!
/Teamet på Qred