Ännu ett informationsinlägg kring GDPR, av dem som nått oss via e-post eller vanliga brev de senaste dagarna. Idag är exakt en vecka kvar tills lagen ska börja tillämpas den 25 maj.
Beslut har fattats om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation.
Förordningen börjar gälla direkt som lag i alla medlemsstater och ersätter då personuppgiftslagen (PUL) här i Sverige från och med 25 maj 2018.
Varför införs GDPR?
Avsikten med GDPR är att säkra upp och harmonisera skyddet för fysiska personers personuppgifter. Människor ska få en större kontroll över sina personuppgifter. Dessutom behöver de företag som bedriver verksamhet i flera EU-länder nu bara förhålla sig till ett enda regelverk.
Vilka berörs?
Den berör samtliga företag/myndigheter/föreningar och vissa fall även privatpersoner som har verksamhet i ett EU-land, eller med individer som befinner sig i ett EU-land. Lagen/förordningen gäller all personuppgiftsbehandling i systematisk form, all form av elektronisk hantering av personuppgifter, inklusive register, databaser och löpande text. Den ska även kunna gälla viss manuell hantering, till exempel register man har på papper.
Somhemma Din Redovisningsbyrå månar om andras integritet, så vi ansvarar för den personliga informationen som uppdragsgivare och företag lämnar in till byrån.
Parter
Personuppgiftsansvarig och personuppgiftsbiträde.
Dataskyddsförordningen (GDPR) gäller för den personuppgiftsansvarige, det vill säga den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträdet, det vill säga den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.
Både den personuppgiftsansvarige och personuppgiftsbiträdet har därmed ansvar för att GDPR följs. Bägge måste t ex föra register över behandling av personuppgifter och ha ett eget ansvar för säkerhet. Används någon annan för att behandla dina personuppgifter, så är du tvungen att ha ett skriftligt personuppgiftsbiträdesavtal med denna, tillsammans med en instruktion om hur biträdet får behandla de personuppgifter som du är ansvarig över.
Vad är personuppgifter?
En uppgift som ensamt eller tillsammans med andra uppgifter kan peka ut en unik, levande människa. T ex ett personnummer som kan peka ut en viss person.
Namn kan ofta flera andra ha som sitt eget, men tillsammans med fullständig adress kan många veta vem individen kan vara.
Utöver basuppgifter kan även bilder, ljudupptagningar, fingeravtryck eller vissa IP-adresser skapa en identifikation av någon.
Vad räknas som mer känsliga uppgifter
Det kan vara sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös- eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv.
Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök. Datainspektionen säger utöver ovan att känsliga uppgifter rör personuppgifter som rör lagöverträdelser som innefattar brott. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga.
Åtkomst till sina personuppgifter
Den nya dataskyddsförordningen (GDPR) ger alla individer rätt att få tillgång till de uppgifter som företaget har registrerat om denna. Vidare kan den registrerade begära att företaget ska rätta, eller radera data som finns om denne. Den som har lämnat sina personuppgifter har även i vissa fall rätt att få ut uppgifterna i flyttbar form och använda uppgifterna på annat håll.
Rättslig grund
Det finns en laglig rätt att behandla personuppgifter, om man har en så kallad rättslig grund. Normalt kommer man använda sig av de fyra olika grunderna, samtycke, avtal, rättslig förpliktelse eller intresseavvägning.
Samtycke är att få ett uttryckligt godkännande från kunden. Avtal ger dig rätt att behandla personuppgifter för att kunna uppfylla det ni ingått avtal om.
En rättslig förpliktelse kan vara krav på arkivering av bokföring under maximalt 7 år, enligt bokföringslagen. Eller krav på att skicka in inkomstdeklarationen till skatteverket, enligt skatteförfarandelagen.
Intresseavvägning kan vara att du anser att ditt intresse av att behandla en personuppgift väger tyngre än den registrerades rätt till att inte vilja bli behandlad. Något som exempelvis kan ske på vissa annonsportaler.
Arbetsgivare måste även ha en intern Personuppgiftspolicy, som förklarar hur arbetsgivaren behandlar de anställdas personuppgifter. Policyn kan antingen hanteras som en bilaga till anställningsavtalet eller publiceras på företagets intranät.
Får inte sparas/Gallring
Personuppgifter får inte sparas i en sådan form att de möjliggör identifiering av den registrerade längre tid än nödvändigt, för de syften som personuppgifterna ska behandlas. När syftet är uppnått ska uppgifterna raderas eller avidentifieras.
Vad är personuppgiftsbehandling?
Det är allting man kan göra med en personuppgift, såsom samla in, spara en uppgift, ändra, titta på, skriva ut, ta bort, förstöra m.m. Finns det någon som samlat in, hämtat eller köpt en personuppgift och har den i elektronisk form så har den individen utfört en personuppgiftsbehandling.
Skydd och säkerhet
Personuppgifterna ska skyddas mot obehöriga och mot förbjuden användning, förlust och skada. Den som behandlar personuppgifter ska därför tillämpa lämpliga tekniska säkerhets- och organisatoriska åtgärder för att skydda personuppgifterna. Somhemma Din Redovisningsbyrå skyddar andras personuppgifter i en kombination av tekniska och organisatoriska lösningar. Det krävs ett åtkomstsystem för att nå uppgifterna.
Dokumentera och informera
Om vi ska följa GDPR, så måste vi dokumentera alla personuppgiftsbehandlingar. Denna ska innehålla uppgifter om den rättsliga grunden för behandlingen. Du ska förklara varför du behandlar uppgiften, hur länge du behandlar uppgiften och vilka personuppgifter som samlas in.
Om ett företag vill hämta in kunduppgifter för att kunna sälja en produkt till en ny kund, så är syftet att kunna göra en affär och leverera produkten. I det fallet måste vi ha in personuppgifter, såsom personnummer, adress, namn och kanske e-post. Däremot får man inte samla in uppgifter runtomkring denna uppgörelse, som inte har med syftet av den första affären att göra.
Enligt den nya dataförordningen måste vi även uppge lagringstiden för de personuppgifter som vi fått in.
Somhemma Din Redovisningsbyrå sparar alla uppgifter, så länge uppdragsgivaren är kund hos oss, vilket i sig blir den rättsliga grunden, då uppgiften behövs för att kunna fullfölja uppdragsavtalen.
Alla som behandlar personuppgifter måste även informera om vilka, personuppgifter som samlats in, för vilket syfte och hur länge dessa sparas. Detta kan ske på en hemsida, via e-post eller i ett avtal.
Kunderna måste även informeras om sin rätt att få sina uppgifter rättade eller raderade och om deras rätt att få ut sina personuppgifter som de lämnat till dig genom registerutdrag och rätt att få ut uppgifterna i flyttbar form.
Böter
Det är både den personuppgiftsansvariga och personuppgiftsbiträden som kan drabbas av böter om de inte följer GDPR. Man kan bli tvungen att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller 4 % av organisationens omsättning om man inte sköter sig.
Vid dataintrång
Om det sker ett dataintrång eller dylikt som påverkar säkerheten måste man anmäla detta till Datainspektionen inom 72 timmar. Man kan också behöva uppge de registrerade. Det kan handla om personuppgifter som genom hackning eller slarv blivit stulna, exponerats felaktigt på Internet, felaktigt förstörts eller ändrats.
