GDPR – vad gäller?
GDPR betyder General Data Protection Regulation och är en EU-förordning som börjar gälla den 25 maj 2018. GDPR gäller alla företag och organisationer som hanterar personuppgifter, oavsett storlek och organisationsform. GDPR gäller för såväl t ex ideell förening, aktiebolag och enskild firma som statliga myndigheter.
Syftet med GDPR är att skydda den personliga integriteten för alla EU-medborgare och ge oss rätt att få information om vilka personuppgifter som finns om oss, och också rätt att få uppgifterna rättade eller borttagna.
I Sverige kommer GDPR att ersätta PUL (Personuppgiftslagen) som har funnits sedan 1998, men som de flesta inte har anpassat sig till. Jämfört med PUL ökar de registrerades rättigheter och vad som anses vara en personuppgift. Det införs också sanktioner på som mest 4% av omsättningen eller 20 miljoner EUR.
GDPR kommer att utvecklas med tiden och vi kommer i framtiden att vara tvungna att arbeta med GDPR som en naturlig del i företagandet eller i föreningens arbete.
Vem ansvarar?
Den organisation som samlar in och använder personuppgifter för ett visst syfte kallas personuppgiftsansvarig (PuA), och i ett företag eller en ideell förening är det styrelsen som har ansvaret för att personuppgifterna hanteras på rätt sätt.
PuA ansvarar för att den registrerade är informerad om vad, varför, hur och hur länge en personuppgift behandlas. PuA ansvarar också för att personuppgifterna hanteras på ett korrekt och säkert sätt, att man inte har personuppgifter som inte behövs, och att det görs en förteckning över all behandling av personuppgifter.
En organisation kan också vara personuppgiftsbiträde (PuB) vilket innebär att man behandlar personuppgifter åt den som är personuppgiftsansvarig. Exempelvis en programvaruleverantör eller redovisningsbyrå kan vara PuB.
Vad är en personuppgift?
En personuppgift är all information som kan kopplas till en människas privata, publika eller yrkesmässiga identitet. Det innebär sådant som namn, personnummer, telefonnummer och adress som vi tycker är naturliga personuppgifter men även t ex foton, inspelningar, medlemsnummer, mailadress samt köpvanor och annan profilering.
GDPR gäller inte bara register utan även personuppgifter i löpande text och i både digital och manuell form. Det innebär att även personuppgifter i pärmar omfattas, så länge de är ordnade och sökbara, d v s det finns någon form av register eller annan struktur. Vissa personuppgifter anses också vara känsliga, t ex allt som rör hälsa, religiös tillhörighet eller sexuell läggning, och det ställs då högre krav på vilka och hur man får behandla uppgifterna.
Hur ska man hantera personuppgifterna?
I GDPR finns det några grundläggande principer för hanteringen av personuppgifter:
- Samla bara in tillåtna personuppgifter. Det krävs att man har ett ändamål med registreringen och att man har en laglig grund, t ex utifrån ett avtal, samtycke eller rättslig förpliktelse
- Informera de som är registrerade, t ex kunder, leverantörer och anställda
- Bestäm vad personuppgifterna skall användas till och använd dem inte för något annat syfte
- Samla inte in fler personuppgifter än som behövs, d v s inte för att det är ”bra att ha”
- Se till att personuppgifterna är korrekta och uppdaterade
- Radera personuppgifter som inte längre behövs
- Skydda personuppgifterna från obehörig åtkomst och användning
- Dokumentera hanteringen av personuppgifterna
Vad ska man göra för att uppfylla GDPR?
Vad man måste göra och hur mycket man måste anpassa sig varierar och varje organisation bör därför göra en genomlysning av vilka personuppgifter man hanterar och i vilka processer.
- En bra start är att använda GDPR-guiden på verksamt.se. Den är framtagen av Datainspektionen och man får en genomgång av de vanligaste processerna där det finns personuppgifter och lite tips och råd.
- Alla företag måste göra en förteckning över vilka personuppgifter man hanterar och hur man hanterar dem.
Ett praktiskt sätt att göra förteckningen kan vara att göra den i ett exceldokument där man har en flik per process, t ex kunder, löner, leverantörer och nyhetsbrev. För varje process gör man sedan en matris där man på ena axeln listar alla personuppgifter man hanterar och på andra axeln har en kolumn för varje bedömning man måste göra för att få lov att hantera personuppgiften. De viktigaste ställningstagandena per personuppgift är:
- Ändamålet med personuppgiften
- Vilken laglig grund t ex avtal, rättslig förpliktelse, samtycke, berättigat intresse
- Är det en känslig uppgift?
- Vem är behörig att använda uppgiften
- Finns personuppgiftsbiträde?
- Hur hanteras uppgiften, d v s hur den inhämtas, lagras ,delas och gallras ut
- Vilka säkerhetsåtgärder finns?
- Vilken information ges till den registrerade
- Uppfylls GDPR?
- Åtgärder, deadline och ansvarig i de fall man inte uppfyller GDPR
- Utifrån vilka processer och personuppgifter man hanterar kan man behöva uppdatera olika avtal, t ex med kunder och framför allt med de leverantörer som är personuppgiftsbiträden. Det kan t ex vara leverantörer för olika dataprogram, mail, server etc men även tjänster som t ex bokföring, lönehantering och rekrytering. Som PuA är det viktigt att man avgränsar vad PuB får göra med personuppgifterna.
- De registrerade måste också informeras på ett enkelt och tydligt sätt om vilka uppgifter, varför personuppgifterna samlas in och hur de hanteras. Ett praktiskt sätt kan vara att utforma en integritetspolicy som hålls tillgänglig för alla t ex på organisationens hemsida. Eftersom informationen skall innehålla mycket, framför allt kontaktuppgifter till personuppgiftsansvarig, ändamål, rättslig grund, lagringstid och rätt att begära registerutdrag och rättelse av personuppgifter kan det vara praktiskt samla allt på ett ställe som man kan hänvisa till.
- Gör en åtgärdslista med ansvarig och deadline. GDPR är inte en fråga bara för ledningen eller styrelsen utan alla i hela organisationen berörs och måste veta hur de får behandla personuppgifter Det är därför bra att involvera alla i arbetet.