Vanliga frågor (FAQ)

Varför inför EU en Dataskyddsförordning?

Teknikens snabba utveckling har bidragit stort till att intrång och bedrägerier ökat lavinartat världen över, medan skyddet och möjligheterna att som individ kunna påverka detta inte hunnit med. Den nu ersatta personuppgiftslagen har dessutom visat sig vara uddlös i alltför många rättsprövade fall, varpå denna nya förordning är ett sätt att öka såväl skyddet som rättigheterna hos individen och hur man behandlar personuppgifter. Dessutom är en mer samstämmig lag underlättade för att jobba över landsgränserna i de fall det behövs.

Vad är en personuppgift (PU)?

Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Som exempel kan nämnas namn, personnummer, telefonnummer, adress. Även bilder och ljudupptagningar av personer kan vara personuppgifter samt emailadresser och andra digitala markörer som IP-adress eller s.k. internetkakor.

Vad är en känslig personuppgift?

Alla uppgifter som kan härledas till en fysisk person i livet som berör:

- ras eller etniskt ursprung

- politiska åsikter

- religiös eller filosofisk övertygelse

- medlemskap i en fackförening

- hälsouppgifter

- en persons sexualliv eller sexuella läggning

- genetiska uppgifter

- biometriska uppgifter som entydigt identifierar en person.

Var ska man börja sin GDPR anpassning?

Se till att utbilda alla i organisationen om vad detta innebär för just er och utse lämpliga personuppgiftsansvariga/biträden. Skriv avtal med de parter som behandlar era personuppgifter utanför organisationen. Kartlägg verksamhetens alla register för hantering av personuppgifter. Bedöm även vilka åtgärder som behövs för att få en säker behandling av PU. Ta även fram en dataskyddspolicy som genomsyrar allt ert arbete där rutiner och styrdokument för hantering av personuppgifter ingår. Bedöm ändamålen och vilken rättslig grund ni har för hanteringen. Motivera och dokumentera även de beslut ni fattar. Arbetet bör vara riskbaserat, dvs analysera allt ni gör ur en risksynvinkel. Revidera policyn allteftersom för att få en så smidig organisering av arbetet som möjligt inför framtiden.

Vem ska utses som personuppgiftsansvarig/-biträde?

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål som uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. En fysisk person kan vara personuppgiftsansvarig vilket till exempel är fallet för enskilda firmor.

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

Exempel:

Personuppgiftsansvarig och personuppgiftsbiträde.

Ett bryggeri har många anställda. Det ingår ett avtal med ett lönehanteringsföretag för betalning av lönerna. Bryggeriet talar om för lönehanteringsföretaget när lönerna ska betalas, när en anställd slutar eller får löneförhöjning, och tillhandahåller alla andra uppgifter för lönebesked och utbetalning. Lönehanteringsföretaget står för ITsystemet och lagrar de anställdas uppgifter. Bryggeriet är den personuppgiftsansvarige och lönehanteringsföretaget är personuppgiftsbiträdet.

Gemensamt personuppgiftsansvariga

Ert företag/organisation erbjuder barnvaktstjänster via en onlineplattform. Samtidigt har ert företag/er organisation ett avtal med ett annat företag som gör att ni kan erbjuda tilläggstjänster. Dessa tjänster ger exempelvis föräldrar möjlighet att inte bara välja barnvakt utan också hyra spel och DVD:er som barnvakten kan ha med sig. Båda företagen är inblandade i den tekniska uppsättningen av webbplatsen. I detta fall har de två företagen bestämt att använda plattformen för båda syftena (barnvaktstjänster och DVD/spelhyra) och delar väldigt ofta kundernas namn mellan sig. Därför är de två företagen gemensamt personuppgiftsansvariga. De är nämligen inte bara överens om att erbjuda möjligheten till ”kombinerade tjänster” utan de utformar och använder dessutom en gemensam plattform.

Konsekvensbedömning och riskanalys, vad är detta?

Syftet med konsekvensbedömning är att förebygga risker innan de uppkommer. Ni kan behöva göra en konsekvensbedömning:

- innan ni påbörjar en personuppgiftsbehandling

- om risken med en pågående behandling ändras

- för pågående behandlingar om ni inte har gjort det tidigare.

Konsekvensbedömningen är en process för att:

- ta reda på vilka risker som finns med att behandla personuppgifter

- ta fram rutiner och åtgärder för att bemöta dessa risker

- visa att man uppfyller dataskyddsförordningens krav.

Utgå från en riskanalys.

Ni ska alltid göra en konsekvensbedömning, om er behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter. Men alla måste inte alltid genomföra en regelrätt konsekvensbedömning:

Analysera vilka risker er behandling av personuppgifter kan innebära och föreslå lämpliga säkerhetsåtgärder. Dokumentera det ni kommer fram till, så att ni kan visa att ni följer förordningen.

Utifrån riskanalysen beslutar ni om ni behöver gå vidare och göra en konsekvensbedömning.

Obs! I tveksamma fall bör ni alltid göra en konsekvensbedömning.

Vad är en PU-incident?

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks.

Exempel:

diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning, finansiell förlust, brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har:

- blivit förstörda

- gått förlorade på annat sätt

- kommit i orätta händer.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Vad ska man göra om en PU-incident inträffar?

Vid en personuppgiftsincident måste man agera snabbt och på ett lämpligt sätt utifrån er dataskyddspolicy för detta. Informera omedelbart de registrerade, det vill säga de personer som drabbas av personuppgiftsincidenten, om det är stor risk att deras rättigheter och friheter eller hälsa kan påverkas. Senast inom 72 timmar ska en incident vara rapporterad till Datainspektionen.

I de fall där incidenten anses vara av ringa påverkan bör den PU-ansvarige utvärdera händelsen, kanske tillsammans med en DPO eller Datainspektionen och avgöra om någon form av anmälan bör göras eller om det räcker med att hantera det internt. Dokumentera dock alltid en PU-incident oberoende av hur ringa den än anses vara. Läs mer i vår policymall för personuppgiftsincidenter under bilagor.

Här finns blanketten för incidentrapportering: http://www.di.ax/blanketter/anmalan-personuppgiftsincident

Privacy-by-design/default, vad innebär detta i praktiken?

Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar IT-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas.

Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att nte mer information än nödvändigt samlas in, delas ut eller visas.

Vad innebär laglig-/rättsliggrund att hantera personuppgifter?

Det betyder bland annat att ni ska stödja er på någon av de 6 rättsliga grunder nedan för att få behandla personuppgifter.

Samtycke: Den registrerade har sagt ja till personuppgiftsbehandlingen. I många fall är det dock inte lämpligt eller kanske inte ens möjligt att stödja sig på den registrerades samtycke, speciellt inom myndighetsutövning. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.

Avtal: Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvarige.

Intresseavvägning: OBS! Icke applicerbart vid myndighetsutövning.

Rättslig förpliktelse: Det finns lagar eller regler som gör att den personuppgiftsansvarige måste behandla vissa personuppgifter i sin verksamhet.

Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.

Grundläggande intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om den är medvetslös.

 

Publicerad 11.10.2018
Uppdaterad 13.11.2018