Meny

Vad är gdpr?

Nedan kan du läsa mer om vad GDPR innebär för ditt företag. 

EU:s dataskyddsförordning

GDPR-shield.png

GDPR (General Data Protection Regulation) eller dataskyddslagen är en EU-förordning som ersatte PUL (Personuppgiftslagen) den 25 maj 2018. Lagen handlar om integritet, transparens, öppenhet samt ordning & reda. 

Det innebär i praktiken att ditt företag behöver vara mer transparent med vilken personlig data ni lagrar och vad ni gör med informationen. Ni måste även informera de registrerade om hur uppgifterna ska behandlas, begära samtycke om det behövs, tillåta insyn i behandlingen och ha rutiner för hur radering av uppgifterna sker. 

Syftet med den nya EU-förordningen är att stärka skyddet av personuppgifter för privatpersoner i hela EU. 

Grundläggande krav

Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövsinte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad syftet var när de samlades in.

Behandling

Behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Säkerhet

Säkerställande av lämplig säkerhet för personuppgifterna. Skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Lämpliga tekniska eller organisatoriska åtgärder.

Ändamål

Personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och behandlas på sätt som är förenligt med ändamålen. Definiera avsikten med insamlingen och användningen. Gäller även profilering*.

*Med ”profilering” menas kategorisering av personer, baserad på de registrerades personuppgifter. Till exempel e-handelsverktyg som skapar profileringar baserade på användarnas köpbeteende, ålder, kön m.m.

Bestämd tid

Uppgifterna får inte förvaras i en form som möjliggör identifiering längre än vad som är nödvändigt för ändamålen. Det bör finnas en tidsfrist för radering eller för regelbunden kontroll för att säkerställa att personuppgifter inte sparas längre än nödvändigt.

Vad behöver mitt företag göra?

Inventera

Dokumentera

Skapa rutiner

Systemstöd

  • 1. Inventera
  • 2. Dokumentera
  • 3. Skapa rutiner
  • 4. Systemstöd

Inventera personuppgifternas livscykel från insamling till radering

Börja med att göra en lista över vilka personuppgifter ni lagrar och/eller hanterar och hur de samlas in. Detta gäller oavsett om ni använder ett system eller har manuella processer och rutiner. Skriv upp systemets namn och vem som ansvarar för systemet hos er.

Tips! Börja med det ni gör bäst, det vill säga hur ni arbetar. Skapa bilder av era processer och se till att era policys och arbetsbeskrivningar är uppdaterade. Försök att se helheten, har ni exempelvis flera system som delar information med varandra så är det viktigt att följa hela livscykeln.

Dokumentera personuppgifternas livscykel från insamling till radering

När ni har överblick över vilka personuppgifter som hanteras inom er organisation och vad syftet är med dessa så behöver ni dokumentera vilka lagliga grunder ni har för lagring/behandling av dessa uppgifter samt vad ni har för gallringsrutiner och processbeskrivningar.

Grunderna för laglig behandling är:

  • Samtycke
    Ni har personens samtycke till att lagra/behandla uppgifterna
    (Tänk på att personen har rätt att återkalla sitt samtycke)
  • Avtal
    Ni har ett avtal eller har för avsikt att ingå avtal med den registrerade personen
  • Rättslig förpliktelse
    När lagen kräver att ni måste registrera/behandla personuppgifter, exempelvis bokföringslagen
  • Intresseavvägning
    När era syften väger tyngre än den registrerades rätt att slippa behandlingen Exempel:  När en arbetsgivare ska kontrollera och övervaka anställda om det krävs av säkerhetsskäl, till exempel inpasseringssystem
  • För att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person
    Till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.
  • För att utföra en uppgift av allmänt intresse eller myndighetsutövning

Tips! Dataskyddsförordningen kräver att er organisation löpande underhåller och uppdaterar dokumentationen över vilka personuppgifter ni behandlar och lagrar. Därför är det bra att dokumentera och förklara hur ni har tolkat lagtexten. Ta hjälp av verksamhetsexperter och experter inom Dataskyddsförordningen för att ta fram vilka lagliga grunder som gäller för er organisation.

Skapa rutiner & processer

De nya dataskyddsreglerna är inget som kan hanteras av en enskild individ i ett företag utan det är väldigt viktigt att alla inom organisationen är väl informerade kring processen och behandlingen av personuppgifter. Till exempel om en person önskar att bli ”glömd"/borttagen från era system ska alla inom verksamheten veta hur denna rutin ska genomföras.

Tips! Det finns inte någon särskild metod som är bäst. Organisera arbetet och använd era egna projektmodeller. Ni behöver lägga extra vikt vid kunskapsöverföring och processutveckling eftersom detta är ett ständigt pågående arbete.

Låt systemet styra användaren rätt

Med hjälp av ett affärssystem blir det enklare för organisationer att uppfylla reglerna i förordningen. Fördelen med ett IT-system är att ni kan minimera antalet personuppgifter och låta systemet styra användaren rätt.

Ni kan enkelt se över behörigheter, roller och de processer som behandlar personuppgifter och få svar på följande frågor:

  • Vilka personuppgifter behandlar vi?
  • Var i systemet behandlar vi personuppgifter?
  • Varför behöver vi behandla dessa uppgifter?
  • Vilka personer har behörighet för att komma åt dessa uppgifter?
  • Hur länge sparar vi dessa uppgifter?

Är du intresserad av ett affärssystem? Klicka här för att läsa mer om WorkCloud.

Med vårt webbaserade affärssystem & CRM kan du hålla full koll på ditt företag överallt!

Ett urval av våra moduler

GDPR-stöd

Fullt GDPR-stöd med rensnings- och anonymiseringsfunktion.

Ärendehantering

Förenkla och effektivisera administrationsprocessen i ditt företag.

Dokumenthantering

Samla alla dokument i ett slutet system som är åtkomligt överallt.

Säkra uppgifter

Skydda känsliga uppgifter, såsom inloggningsuppgifter, med kryptering.

Personsökning

Sök på olika personuppgifter och få fram var dessa uppgifter finns lagrade.

Vad räknas som personuppgift?

”Varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras…”

Till exempel: Namn, personnummer, ID-nummer, lokaliseringsuppgift, lägenhetsnummer, kundnummer, e-post, telefonnummer, registreringsnummer, IP-nummer, bild, hälsodata, köphistorik eller andra känsliga uppgifter.

Vad räknas som personuppgiftsbehandling?

En åtgärd eller en kombination av åtgärder beträffande personuppgifter såsom: Insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, låsning, användning, utlämning genom överföring, radering eller förstöring oberoende om det sker automatiserat eller inte.

Dataskyddsarbetet i världen

Nedan presenterar vi statistik som Cisco tagit fram i samband med sin rapport från januari 2019 om hur företag kan maximera värdet av dataskyddsarbetets investeringsvärde.

Senast uppdaterat: Februari, 2019

GDPR-redo i procent

  • 59 % är GDPR-redo idag
  • 29 % beräknar bli GDPR-redo inom ett år
  • 9 % beräknar att det kommer ta flera år att bli GDPR-redo
  • 3 % i undersökningen trodde att de inte omfattades av lagstiftningen

De största utmaningarna

  • 42% Möta dataskyddskraven
  • 39% Intern träning (få in rätt arbetssätt och rutiner)
  • 35% Möta kraven i takt med den ständiga utvecklingen av lagstiftningen
  • 34% Att efterleva Privacy By Design (system med integrerat dataskydd)
  • 34% Hantera begäran om registerutdrag
  • 31% Katalogisera och inventera personuppgiftsbehandlingen
  • 30% Möjliggöra rätten att bli glömd
  • 29% Tillsätta/identifiera dataskyddspersonal för varje relevant område
  • 28% Leverantörshantering (personuppgiftsbiträdesförhållanden)

För att behandla personuppgifter krävs en

Rättslig grund

Vilka rättsliga grunder finns det?

Avtal

Om behandling av personuppgifter är nödvändig för att uppfylla förpliktelser enligt avtal.

Exempel: Uppgifterna krävs eftersom ni har ett avtal eller har för avsikt att ingå avtal med den registrerade personen (kundavtal, anställningsavtal, etc.).

Berättigat intresse

Här gör man en intresseavvägning mellan den personuppgiftsansvariges intresse av att behandla uppgifterna och den registrerades intresse av integritetsskydd för uppgifterna i fråga. Om den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn, är behandlingen förbjuden.

Exempel: Berättigat intresse kan finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, t.ex. i de fall den registrerade är kund hos eller arbetar för den personuppgiftsansvarige.

Skydda registrerades grundläggande (vitala) intressen

Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Exempel: När behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

Rättslig förpliktelse

Det finns en förpliktelse att lagra informationen enligt lag.

Exempel: Rättslig skyldighet att lagra information kan komma från bokföringslagen, lagstiftning kring penningtvätt, skattelagstiftning eller andra lagar som påverkar er verksamhet.

Uppgift av allmänt intresse eller myndighetsutövning

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning.

Exempel: Skolverksamhet

Samtycke

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Om du baserar på samtycke ska du kunna visa samtycket samt informera om vad, hur och var uppgifterna kommer att användas.

Exempel: Om du har ett formulär för nyhetsbrev så behöver du informera användaren att du sparar informationen för att senare använda i exempelvis marknadsföringssyfte.
 
Tänk på att du inte får flytta adresserna hur som helst mellan listor, inte heller ge dem vidare till andra om detta inte tydligt framgått när man skrev upp sig på listan. Det är heller inte okej att ha t ex check-boxar för mejlprenumeration checkade som förval.

Särskilt om samtycke

Krav för giltigt samtycke

  • Frivilligt (separata samtycken för flera olika behandlingar)
  • Specifikt & otvetydigt
  • Individuellt
Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats.
 
Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ett samtycke kan återkallas av de registrerade.
 
Tips! Fundera över hur ni ska kunna visa att ett giltigt samtycke har lämnats. Samla samtliga samtycken på ett ställe så att ni med lätthet kan hantera dem vid exempelvis återkallande av samtycke och skapa rutiner för rensning av samtycken som förfallit. 
job-interview

LÅT OSS BLI

Din GDPR-konsult

Genom ett individuellt utformat samarbete kan vi effektivisera ert dataskyddsarbete.

"GDPR-böter" för den som bryter mot lagstiftningen

Exempel från verkligheten

Nedan följer några exempel på företag som drabbats av de höga sanktionsböter som företag riskerar att åläggas för om det inte investeras i ett dataskyddsarbete i enlighet med GDPR. 

Den första GDPR-bötern dömdes ut av DSB, som är tillsynsmyndighet i Österrike. Företaget som ålades att betala sanktionsavgiften på €4.800 ansågs ha för omfattande kameraövervakning.

REGLER FÖR KAMERAÖVERVAKNING
Du behöver ett berättigat intresse, kamera får inte vara dold, ska finnas tydlig skyltning där kamera är uppsatt, bevakning får inte ske om det skulle kunna anses som särskilt integritetskänsligt för den bevakade, bevakningen får endast ske för dess individuella syfte.

Tillsynsmyndigheten, CNPD, i Portugal utfärdade i oktober 2018 sin första GDPR-böter på €400.000. Det var ett sjukhus med både tekniska och organisatoriska säkerhetsbrister som drabbades av detta höga bötesbelopp.

Sjukhuset hävdade att de använde samma IT-system som tillhandahålls offentliga sjukhus av portugisiska hälsoministeriet, men CNPD beslutade att detta inte är ett giltigt skäl eftersom det är varje personuppgiftsansvariges ansvar att säkerställa att IT-systemen lever upp till kraven som ställs i GDPR.

Tysklands tillsynsmyndighet, LfDI, dömde i november 2018 ut sin första GDPR-böter i Tyskland. Bötern låg på €20.000 och gällde otillräckliga skyddsåtgärder hos ett tyskt företag. Ca 808.000 e-postadresser och lösenord hade läckt ut från en av företagets webbsidor i samband med en hackerattack. Bötern förmildrades tack vare att företaget samarbetade med tillsynsmyndigheten.

TILLRÄCKLIGA SKYDDSÅTGÄRDER
Viktig data såsom lösenord får inte lagras okrypterat i ren text.

FÖRMILDRADE SANKTIONER
Om du väljer att samarbeta med tillsynsmyndigheten vid en säkerhetsincident samt vidtar åtgärder för att minska konsekvenserna av incidenten, kan sanktionen förmildras.

I januari 2019 drabbades Google av den rekordhöga straffsumman på €50.000.000. Bötern var den franska tillsynsmyndigheten CNIL:s första sanktionsböter och utfärdades pga. Googles brist på transparens & information till den registrerade samt avsaknad av rättslig grund.

Informationskravet – De registrerade ska informeras om den behandling som den personuppgiftsansvarige utför.

Transparenskravet – De registrerade ska känna till vilka av deras personuppgifter som behandlas.

Rättslig grund – Grundregeln i GDPR är att det inte är tillåtet att behandla personuppgifter om det inte finns en rättslig grund för behandlingen.

Svenska tillsynsmyndigheten beslutade om en sanktionsavgift för en skola. Datainspektionen utfärdade en sanktionsavgift på 200 000 kronor för skolan som på prov använde ansiktsigenkänning via kamera för att registrera elevers närvaro.

DRICKA KAFFE ELLER PRATA BUSINESS?

Vi gillar båda delarna!

bli-uppringd-popup-iphone

Bli uppringd

Kontakta oss

Kom ihåg att inte uppge några känsliga personuppgifter som t.ex. personnummer eller lösenord m.m. För mer information se vår integritetspolicy.
kontakta-oss-popup

Telefon

Mail

Fjärrsupport

  • Vid val av FJÄRRSUPPORT laddas vårt program för fjärrsupport ned på din enhet.