GDPR – 5 snabba! Från Björn Lundén feb 2018
GDPR blir verklighet om några månader och många undrar hur det kommer att påverka deras verksamhet. Här har vi besvarat fem vanliga frågor vi fått!
GDPR
EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen börjar gälla direkt som lag i alla medlemsstater och ersätter då personuppgiftslagen (PUL) här i Sverige från och med 25 maj 2018. Läs mer om GDPR här.
1. Varför införs GDPR?
Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.
- Är det tillåtet enligt dataskyddsförordningen (GDPR) att skicka fakturor via mejl? Jag är fastighetsägare och hyresavierna innehåller hyresgästens personnummer, är det ok?
Fakturor går normalt bra att skicka via mail (eftersom de sällan innehåller några känsliga personuppgifter såsom t ex hälsa, politiska åsikter, religion mm). Personnummer räknas inte som en känslig personuppgift men däremot så får personnummer bara behandlas (t ex skickas med e-post) om det är klart motiverat med hänsyn till ändamålet med behandlingen.
Om inte hyresgästens personnummer behöver anges på fakturorna i detta fall så torde det inte vara motiverat att ha med det. Då bör man plocka bort personnumret. Ett annat alternativ är att utesluta de fyra sista siffrorna i personnumret för då räknas det inte som ett personnummer enligt GDPR.
- Gäller den nya dataskyddsförordningen (GDPR) bara företag eller även privatpersoner?
GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter.
- Om en kund hävdar rätten att bli glömd enligt dataskyddsförordningen (GDPR) måste vi radera allt om den personen?
Rätten att bli bortglömd gäller bara om:
• uppgifterna inte längre behövs för de ändamål som de samlades in för
• behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
• behandlingen grundar sig på berättigat intresse som den registrerade bestrider och som avgörs vara ogiltigt
• personuppgifterna har behandlats olagligt.
En kund kan alltså inte begära att få bli bortglömd om du måste behålla personuppgifter för att uppfylla en rättslig skyldighet. Ett exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt bokföringslagen.
- Kan man inte skicka lönespecifikationer med mail då den nya dataskyddsförordningen (GDPR) börjar gälla?
Lönespecifikationer riskerar att innehålla känsliga personuppgifter (främst kopplat till den anställdes hälsa, t ex sjukavdrag, sjuklön, osv) och är därmed olämpliga att skicka med vanlig mail. Skulle inte lönespecifikationerna innehålla uppgifter som klassificeras som känsliga är det förvisso inget som hindrar att mail fortsätter användas – men det kan ju ändå vara ett bra tillfälle att byta till en bättre metod (och då menar vi inte att återgå till lönespecifikationer på papper som kanske skickas med posten). En löneapp eller en webbtjänst som kräver inloggning är lämpliga val.
……………..
Dataskyddsförordningen och båtklubben
GDPR – Artikel dec2018
Patrik Lindqvist, Svenska Båtunionen
När GDPR börjar tillämpas – Vad händer då rent praktiskt för klubbens behandling av personuppgifter? Klassiskt juristsvar – det beror på… Om klubben uppfyller kraven i personuppgiftslagen (PUL) idag så påverkas man inte så mycket, kraven är i stora drag ganska lika. GDPR är lite skarpare i vissa krav på “ordning och reda” och transparens. Klubben behöver dokumentera och följa upp mer än tidigare. Man behöver också upprätta rutiner för incidentrapportering. När man upptäcker ett dataintrång (“data breach”) i sitt system skall man rapportera till nationell tillsynsmyndighet (Datainspektionen, som snart byter namn till Integritetsskyddsmyndigheten) inom 72 timmar.
Behandling av personuppgifter är förbjudet – utom i de fall det är uttryckligen tillåtet.
Låter drastiskt, men så är det faktiskt redan med PUL och fortsättningsvis även i GDPR. Innebär det att klubben alltså inte får ha ett medlemsregister? Nej, har ni rätt att hålla register idag så har ni det även efter 25 maj 2018. Nedan är saxat ur förordningen (men samma principer gällde alltså även under PUL):
- Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
- a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
- b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
- c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
- d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
- e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
- f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Det är tillåtet för en klubb att ha ett medlemsregister, man kan t o m hävdas vara skyldig att hålla ett sådant. Enligt stycket b) ovan är det tillåtet att behandla personuppgifter för att “fullgöra ett avtal…”. Så är fallet för en förening. Föreningens stadgar utgör ett avtalsförhållande mellan föreningen och medlemmen. Dessutom kan det förekomma fler avtal mellan föreningen och olika grupper av medlemmar eller enskilda medlemmar. För att fullgöra plikter enligt dessa avtal måste föreningen ha ett medlemsregister, bl a för att veta vem som är medlem. Medlemsregistret skall innehålla de personuppgifter som behövs för att upprätthålla avtalets plikter, varken mer eller mindre. Vill ni använda personuppgifter till något annat än vad som framgår av stadgar och andra avtal (som inte ligger inom föreningens “kärnverksamhet” – syftet, enligt stadgarna) måste ni ha medgivande för detta från varje registrerad.
Man måste informera den registrerade att man registrerar, vad man registrerar och hur man använder de registrerade personuppgifterna. Som registerhållare skall klubben –
- veta med vilken laglig grund man för registret
- dokumentera vilka personuppgifter som registreras så att man, vid förfrågan, kan redogöra för detta.
- dokumentera hur registrerade personuppgifter behandlas så att man, vid förfrågan, kan redogöra för detta.
- vid registrering informera den registrerade (“tydligt och lättförståeligt”)
- att man registrerar personuppgifter
- vilka personuppgifter man registrerar
- hur man kommer att använda personuppgifterna
- ta bort personuppgifterna när man inte längre behöver behandla dem
På https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/ finns mycket information gällande dataskyddsförordningen, GDPR.
Publicerad av Google Drive–Anmäl otillåten användning– Uppdateras automatiskt efter 5 minuter