spelplanen-andras-med-gdpr

Spelplanen ändras med GDPR

25 maj 2018 målas spelplanen om för hur företag tillåts att spara information om personer. Det är EU som infört en förordning som tvingar alla medlemsländer att ändra sin lagstiftning. Lagen heter GDPR och i Sverige innebär det att Personuppgiftslagen PUL byts ut och ersätts av GDPR. Detta har stötts och blött i media under hösten 2017 och många ställer sig frågan varför ska vi ändra lagen, och hur kommer detta att påverka oss? Nedan ger några förtydliganden och tips kring vägen framåt för er.

Varför en ny lag, hjälper det mig?

Ett av syftena med dataskyddsförordningen är att skydda den enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. En förenkling är alltså att säga att den ska skydda dig som privatperson. Precis som om du lånar ut en ägodel till någon vill du ha möjlighet att begära tillbaks din ägodel när du inte längre vill låna ut den. På samma sätt kommer det nu att gälla dina personuppgifter. I grunden är detta bra för varje enskild individ, men det sätter en del hinder i vägen för företag i deras hantering av personuppgifter.

Grundprinciper och grunder

Några viktiga grundprinciper för behandling av personuppgifter i GDPR är att personuppgifter som huvudregel bara får samlas in för ett visst angivet ändamål och att det krävs en så kallad laglig grund* för att behandla personuppgifter.

Man ska minimera den mängd uppgifter man samlar in till ett absolut minimum för vad som faktiskt behövs och det finns krav på att du skall tillse att uppgifterna är korrekta. Detta innebär t.ex. att du inte tillåts samla information om anhöriga, civilstånd eller skostorlek om detta inte är något du kan påvisa dig ha grund för att samla in.

Vidare finns det i grundprinciperna krav på att du skall värna om integritet och konfidentialitet kring uppgifterna och hanteringen av dessa uppgifter, samt att du skall minimera tiden för hur länge du lagrar uppgifterna. Dessa grundprinciper ställer hårda krav på din IT-säkerhet och att du måste ha kontroll över vem som faktiskt har tillgång till informationen, samt att informationen skyndsamt skall raderas så snart du inte längre kan påvisa att du har grund för att behålla den.

Krass innebär denna lag att det ställs krav på att du förstår vad du samlar in, varför du samlar in det och till vad det ska användas. Den slentrianmässiga insamlingen som skett under många år kommer därmed upphöra.

Laglig grund i GDPR

Varje uppgift som samlas in och lagras från 25 maj 2018 behöver företaget kunna påvisa att det finns laglig grund för att samla in. Det finns 6 lagliga grunder att stödja sig på:

  • Samtycke – d.v.s. att du överenskommit med individen att du får behålla deras information.
  • Om du har ett ingånget avtal med den registrerade
  • Fullgörandet av en rättslig förpliktelse – d.v.s. att du p.g.a. en lag eller annan rättslig förpliktelse måste spara information om den registrerade (ex. garantiåtagande)
  • För att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person
  • För att utföra en uppgift av allmänt intresse eller myndighetsutövning
  • Intresseavvägning – d.v.s. att ditt intresse att behålla uppgiften har en större betydelse än den registrerades behov av integritet.

Förenklat man man säga att det framförallt är punkt 1-3 som är tillämplig för merparten av registreringar företag genomför, och att det möjligen kan uppstå tillfällen där punkt 6 är tillämplig.

Det intressanta i sammanhanget är att detta gäller personer

Andra ändringar av vikt

I lagen definierar man särskilda kategorier av personuppgifter som extra känsliga. Det är exempelvis ras, etniskt ursprung, politisk åsikt, religiös, filosofisk övertygelse, medlemskap i fackförbund, sexualliv, sexuell läggning, uppgifter om hälsa, genetiska och biometriska uppgifter som definieras som extra känsliga och måste hanteras enligt särskilda bestämmelser.

Lagen kräver även att den registrerade ska få information om att den är registrerad och att denna skall kunna begära ut sina uppgifter, få dem raderade samt att denne skall få information om personuppgifterna misstänks kommit i orätta händer.

GDPR har även omdefinierat begreppet personuppgift och gett det en vidare betydelse. En personuppgift är inte endast personnummer eller väl definierade uppgifter om en person. En personuppgift är enligt GDPR allt som ”rimligen” kan leda till en specifik individ. Det innebär att en personuppgift är allt från en  E-postadress, ett användarnamn eller till och med en noga beskrivning av en individ utan dess namn som kan härledas till personen. Hur många såna registreringar tror du inte redan finns därute om dig?

Du behöver även ha rutiner och policys uppdaterade kring hur du faktiskt hanterar personuppgifter och hur du hanterar en personuppgiftsincident. Möjligen kan du även behöva utse ett dataskyddsombud om ni hanterar mycket eller känsliga uppgifter.

En viktig detalj är att förstå att det inte längre är självklart att lagra en E-postadress till en individ hos en kund. Behöver jag verkligen denna för att fullgöra mitt avtal gentemot företaget som jag har avtal med, eller räcker det att jag har företagets kontaktuppgifter?

Vad händer om jag inte följer lagen?

Följer man inte lagen kan det bli dyrt. Bötesbelopp kan utgå med upp till 4% av den globala omsättningen.

Vad behöver alla företag göra?

Alla företag behöver alltså se över sina rutiner kring personuppgiftshantering, vilka IT-system har vi som hanterar personuppgifter, vilken IT-säkerhet och hantering företaget har kring personuppgifter och vilka uppgifter som faktiskt lagras. Det räcker inte med att bara ”kika på systemen”, ni ska även göra en konsekvensbedömning och en analys av de system ni faktiskt har och säkerställa att dessa upprätthåller en god IT-säkerhet. Detta gäller även om ni ”hyr” systemet eller har en onlinelösning så krävs det av er att ni faktiskt säkerställt att leverantören upprätthåller godtagbara lösningar för att skydda ert data.

Inventera de personuppgifter ni har, kategorisera dessa i grupper och bedöm för varje grupp av uppgifter vilken laglig grund ni har för lagrandet av personuppgiften.

Inventera vilka system som faktiskt hanterar personuppgifter (ekonomisystem, CRM, filserver, mailserver etc – överallt finns personuppgifter). Hur säkerställer vi att vi vet vad vi lagrar i dessa system, och hur säkerställer vi att uppgifterna hanteras på rätt sätt? Vem har tillgång till uppgifterna? Hur säkerställer vi att vi kan radera en uppgift om en specifik individ i alla våra system?

Många företag behöver troligen skicka ut samtycken eller säkerställa att de har korrekta avtal gällande hantering av personuppgifter såväl med IT-leverantörer som med sina kunder.

> Läs mer om dataskyddsförordningen här