GDPR för företagare

Samlar du som företagare in personuppgifter i till exempelvis ett kund- eller personalregister? Med största sannolikhet är det så – det är numera omöjligt för en organisation att fungera utan hantering av personuppgifter. I så fall berörs du av dataskyddsförordningen (GDPR).

Dataskyddsförordningen ställer högre krav än den tidigare personuppgiftslagen (PuL). De högre kraven innebär att du måste:

  • dokumentera all registrering och personuppgiftsbehandling
  • ha rättsligt stöd för att samla in uppgifter
  • underhålla register och dokumentation
  • säkra de personuppgifter du behandlar
  • kunna bevisa att du följer dataskyddsförordningen vid en inspektion

1. Förbered dig inför dataskyddsförordningen
Inventera och dokumentera vilka personuppgifter du behandlar samt hur och när de samlas in. Skapa tydliga rutiner för hur och varför du samlar in uppgifterna, hur länge du lagrar dem och hur du skyddar dem.

2. Informera om vad som gäller
Dataskyddsförordningen ställer högre krav på vad du kommunicerar till personer vars uppgifter du samlar in. När du begär uppgifter om en person måste du vara tydlig med vad som gäller. Berätta vilka uppgifter du samlar in och varför. Förklara hur länge de kommer att lagras och om du kommer att lämna vidare uppgifterna, och i så fall till vem.

3. Utbilda personalen
Utbilda de anställda i dataskyddsförordningen och verksamhetens rutiner för personuppgiftsbehandling. Om en särskilt ansvarig person för dataskyddsfrågor utses i verksamheten – kommunicera till alla i verksamheten om vem som utsetts!

4. Radera personuppgifter du inte använder
Som sagt behöver du ange syftet med att samla in personuppgifter och hur länge de kommer att lagras när du samlar in dem. Uppgifter som inte längre används med samma syfte som när de samlades in ska raderas. De får alltså inte användas i något annat syfte än det du angav när du samlade in dem.

5. Ge personer rätt till sina egna uppgifter
Samla inte in fler personuppgifter än du behöver och se till att de är korrekta och uppdaterade. Om en person vill ha tillgång till sina personuppgifter ska du lämna ut dem, och vill personen att du ska radera uppgifterna ska du göra det. De ska också kunna välja bort marknadsföring som använder deras uppgifter, till exempel nyhetsbrev.

6. Skydda uppgifterna du hanterar
Dataskyddsförordningen ställer högre krav på säkerheten. Förebygg att personuppgifter tappas bort eller dataintrång genom säkerhetskopiering och antivirusprogram. Var särskilt noggrann med att skydda känsliga personuppgifter.

Vad betyder orden?

Personuppgift

All information som direkt eller indirekt går att hänföra till en fysisk person. Det kan vara exempelvis personnummer, namn, e-postadress, foto på en person eller adress.

Personuppgiftsbehandling

Allt man gör med personuppgifter, till exempel att samla in, registrera och lagra, bearbeta information, dela med en annan part eller radera.

Känsliga personuppgifter

Information om religiös eller filosofisk övertygelse, politiska åsikter, fackligt medlemskap, etniskt ursprung, hälsa och sexualliv eller genetiska och biometriska data.

Rättsligt stöd

När du behandlar personuppgifter behöver du ha rättsligt stöd i dataskyddsförordningen. Det finns olika rättsliga grunder för att samla in personuppgifter, och du måste kunna motivera att du använder en av dem.

För att det ska vara tillåtet att behandla personuppgifter krävs det alltså att det finns en laglig grund för behandlingen. De lagliga grunderna räknas upp i punkterna 1–6 nedan. Den första punkten, samtycke är också en sista utväg för det fall att någon annan laglig grund inte finns. Du måste dock tänka på att den som tillfrågas om samtycke inte känner sig tvingad till att lämna det, och att det finns en säkerställd rutin för den händelse att denne återtar sitt samtycke.

Personuppgifter får behandlas med stöd av någon av följande lagliga grunder:

1. Inhämta samtycke från den registrerade, i möjligaste mån och med förtydligande om att samtycke kan återkallas utan att det är till nackdel för den som väljer det. En arbetsgivare bör till följd av den anställdes beroende enbart i undantagsfall begära samtycke från en anställd.

2. Säkerställ att uppgiftsbehandlingen är nödvändig, exempelvis som ett led i att fullgöra ett avtal mellan verksamheten och den uppgifterna avser såsom fullgörande av anställningsavtalet eller annan överenskommelse med en anställd.

3. Uppgiftsbehandlingen kan vara nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse som följer av de lagar som reglerar verksamheten beträffande skatteredovisning, försäkringar, arbetsmiljöansvar och liknande eller kollektivavtal och förpliktelser gentemot de anställdas fackförbund.

4. Laglig grund är också hantering av uppgifter i syfte att skydda fysisk persons liv och hälsa.

5. Behandling som behövs för att fullgöra arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.

6. Laglig grund är också den behandling av uppgifter som behövs för att tillgodose ett berättigat intresse hos verksamheten om detta intresse väger tyngre än den registrerades integritet. Uppgifter om personalens anhöriga kan behövas för att säkerställa kontakt i händelse av arbetsplatsolycka eller sjukdomstillbud exempelvis.

Sammanfattning

Samla in enbart de uppgifter som verksamheten behöver, säkerställ att de är korrekta och att den som lämnar dem informeras om hur denne kan återta eller korrigera uppgifter som inhämtas. Dokumentera samtycket att behandla uppgifterna, eller om sådant saknas; det lagliga berättigade syftet med uppgiftsinhämtningen. Etablera rutiner för att rensa ut och radera uppgifter som inte får behandlas och klargör för alla i verksamheten vem i verksamheten som har det ansvaret. Begränsa tillträdet till uppgifterna, skapa en rutin för vem som behöver vara behörig att se vilka uppgifter.