Dataskyddsförordningen – GDPR

Att-göra-lista för hantering av personuppgifter enligt Dataskyddsförordningen.

Från 25 maj 2018 börjar Dataskyddsförordningen eller GDPR (General Data Protection Regulation) gälla som lag i Sverige. Dataskyddsförordningen ersätter personuppgiftslagen (PUL) och innebär hårdare krav på hantering av personuppgifter. Syftet med förordningen är att skapa enhetliga dataskyddsregler inom hela EU och den påverkar alla branscher, företag och organisationer.

Om ett företag missköter hanteringen av personuppgifter kan Datainspektionen, som är tillsynsmyndighet döma ut en sanktionsavgift på upp till 4 % av årsomsättningen.

Här följer ett översiktligt tillvägagångssätt för att anpassa din verksamhet till GDPR. För mer information se CvZ Juridiks checklista. Är du medlem i MVR eller Stål & Mekan så kan du alltid ringa CvZ´s jurister för mer information.

GDPR översatt till svenska kan du ladda ner här.

Kontaktuppgifter till CvZ´s jurister hittar du här:

Att-göra-lista

1. Bestäm vad ni ska använda sparade personuppgifter till.

För in detta som grundfråga i alla led – Vad är syftet med att jag lagrar denna uppgift?

Varför behöver vi registrera denna uppgift? Vilka uppgifter sparas? Hur länge behöver personuppgifterna att sparas?

Kom ihåg att man gör skillnad på ”vanliga” personuppgifter och s.k. känsliga personuppgifter. De sistnämnda kräver extra omsorg och skydd och innefattar sjukdomshistoria, politisk åsikt, sexuell läggning, religion osv.

2. Se till att ni har rättslig grund för behandlingen av alla personuppgifter ni hanterar.

Rättslig grund får ni genom:

-Avtal

-Samtycke

-Andra rättsregler

Avtal

Om man ingår i ett avtal med en motpart, så anses denne ha förstått och accepterat att lagring av dennes personuppgifter kommer att ske, eftersom det ofta är en förutsättning för att avtalet ska kunna fullgöras. Exempel är avtal med leverantörer och kunder, men också anställningsavtalen man ingått med sina anställda.

Samtycke

Det så kallade ”passiva samtycket” – med förkryssade rutor på webben med hänvisning till pytteliten text där den registrerade på ett luddigt sätt informeras om behandlingen – kommer inte att fullgöra kraven i GDPR. Genom GDPRs inträde kommer man alltså inte acceptera att den registrerade ”inte sagt nej” – för att uppnå rättslig grund. Samtycke kräver ett rakt, otvetydigt rungande JA till behandlingen. Observera att man fortfarande kan använda samtycke i ruta men man måste informera på ett mycket tydligare sätt än innan (se nedan).

Andra rättsregler

Det finns några specialfall där personuppgifter får lagras utan stöd av samtycke eller avtal, och det är om det är nödvändigt för att kunna uppfylla en rättslig förpliktelse. Ett exempel är att personuppgifter som förekommer i bokföringen och omfattas av bokföringslagen inte påverkas av införandet av GDPR.

Övriga specialfall gäller i princip inte små- och medelstora företag i verkstadsindustrin, kontakta CvZ Juridik för information om övriga specialfall.

I samband med frågan om samtycke måste information lämnas om exempelvis ert företags identitet och ändamålet med personuppgiftsbehandlingen. Dataskyddsförordningen kräver även att man på ett kortfattat men tydligt sätt informerar om de rättsliga grunderna för behandlingen, hur länge personuppgifterna ska lagras och att eventuella klagomål på er behandling ska lämnas hos Datainspektionen. Glöm inte att detta även gäller om ni använder kakor (cookies) på er webbplats för att logga besökare, samtycke och information. Som medlem kan du logga in på MVRs medlemssidor och ta del av ett exempel på lämplig information att ha på hemsidan.

3. Rensa bort alla personuppgifter ni inte har laglig grund att spara.

Tänk på att den s.k. missbruksregeln som finns i PUL tas bort. Missbruksregeln innebär att man får behandla personuppgifter i så kallat ostrukturerat material så länge det inte utgör en kränkning av den registrerades personliga integritet. Typexempel på ostrukturerat material är behandling av personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar och e-mail. Enkla listor är också exempel på ostrukturerat material. Man kan sammanfattningsvis, lite förenklat säga att material som inte är sökbart utgör ostrukturerat material.

Det här betyder att personuppgifter även i så kallat ostrukturerat material måste överses, definieras rättslig grund för eller annars gallras innan GDPR träder i kraft 25 maj 2018.

4. Inför en rutin för hur ni kan tillgodose de registrerades rättigheter.

De viktigaste rättigheterna för de registrerade är att kostnadsfritt få tillgång till sparade personuppgifter. De registrerade ska även kunna få sina personuppgifter raderade om så önskas, kunna invända mot att personuppgifterna används i direktmarknadsföring, få felaktiga personuppgifter rättade, få sina personuppgifter flyttade (dataportabilitet) med mera.

5. Inför en rutin för gallring av personuppgifter.

Företag får inte lagra personuppgifter under längre tid än vad som är nödvändigt för att uppfylla det syfte för vilka de samlades in. En rutin för att med jämna mellanrum rensa register, CRM-system, andra databaser eller dokument från personuppgifter ska finnas på företaget.

6. Inför en rutin för personuppgiftsincidenter

En personuppgiftsincident är exempelvis ett dataintrång eller annat som innebär att ni förlorar kontrollen över de uppgifter ni behandlar, och som innebär att de registrerades rättigheter hotas. En rutin för hantering av sådana incidenter ska finnas på företaget. Ett av kraven är att alla sådana händelser måste dokumenteras. Om det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste händelsen rapporteras till Datainspektionen inom 72 timmar.

7. Utse en personuppgiftsansvarig i organisationen.

En så kallad personuppgiftsansvarig ska finnas och kunna visa att förordningen följs. Personuppgiftsansvarig är normalt den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Denna person kan också företrädesvis vara den man har som kontaktperson utåt som de registrerade kan framställa eventuella frågor och synpunkter till.

8. Se till att ni har tillräckligt skydd för personuppgifterna.

Företag måste implementera såväl tekniska som organisatoriska säkerhetsåtgärder för att skydda personuppgifter som behandlas. IT-system behöver ha ett tillräckligt skydd för personuppgifterna man behandlar. De anställdas bärbara datorer och mobiler bör vara skyddade av koder eller lås.

Som medlem i MVR eller Stål & Mekan kan du logga in på MVRs medlemssidor och ta del av ett exempel på rutin anpassad efter GDPR. Saknar du lösenord, hör av dig till Björn Uppfeldt. Vi ger även seminarier om GDPR, se här.

Vanessa von Zweigbergk, CvZ Juridik

Björn Uppfeldt, MVR och Stål&Mekan