GDPR

Har du tagit tag i företagets behandling av personuppgifter sedan den nya dataskyddsförordningen trädde i kraft den 25 maj 2018? Annars är det hög tid att se över personuppgiftshanteringen nu.

Vi på Nordbro har fått många frågor om GDPR sedan den nya dataskyddsför­ordningen trädde i kraft. GDPR slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en nu levande person och gäller i samtliga EU-länder. Meningen med den nya lagstiftningen är att skapa ett effektivt skydd av personuppgifter över hela unionen.

Det är bara yrkes-eller affärsmässig verk­samhet som omfattas av förordningen och de nya bestämmelserna tillämpas alltså för företag, myndigheter och andra organisa­tioner.
GDPR innebär ett stopp för slentrianmäs­sigt insamlande av personuppgifter, och fö­retag som vill lagra en personuppgift måste tänka igenom varför uppgiften hämtas in, och vilka personuppgifter det alls finns anledning att samla in. Tänk på att GDPR också omfattar sådan lagring av personupp­gifter som rör företagets egen personal.

Behandlar du personuppgifter måste du kunna svara på frågan vilken rättslig grund du har för att samla in personuppgiften och för att lagra denna. Rent generellt kan sägas att behandlingen är laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal. Om det finns ett berättigat intresse, till exempel i sådana situationer där den registrerade är kund hos, eller arbetar för, den som samlar in personuppgiften kan detta också utgöra rättslig grund för behandlingen. Ändamå­len med insamlingen av personuppgifter måste dock vara tydliga och legitima och ska ha bestämts redan vid den tidpunkt du samlar in personuppgiften.

En annan rättslig grund kan vara att den registrerade i fråga lämnat sitt samtycke till att du behandlar personuppgifter om honom/henne, och till hur företaget tänker använda sig av uppgifterna i framtiden. Ett samtycke från den registrerade måste vara frivilligt, och ändamålet med hanteringen ska tydligt framgå och vara lättläst. Det ska vara lika enkelt att återkalla ett samtycke som det var att initialt lämna samtycket. Var dock observant på att samtycke inte är en universallösning, och du ska därför alltid överväga om du har någon annan rättslig grund att stödja personuppgiftsbehand­lingen på än samtycke.

För att påvisa att företaget följer data­skyddförordningen ska du som hanterar personuppgifter föra register över den behandling som sker under ditt ansvar. Företag är skyldiga att samarbeta med till­synsmyndigheten (Datainspektionen) och på dennes begäran göra registret tillgängligt för myndigheten.

Företag behöver skydda personuppgif­terna så att obehöriga inte kan få tillgång till dem. Dataskyddsförordningen medför regleringar kring dataskydd och tekniska lösningar för att skydda personuppgifter. De nya reglerna medför också att företaget kan behöva överväga om det är nödvändigt att upprätta sekretessavtal med anställda som hanterar personuppgifter. Person­uppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet och förhin­drar obehöriga tillträde till dem och den utrustning som används för behandlingen (inbyggt skydd). I vissa fall föreligger en an­mälningsplikt till Datainspektionen inom 72 timmar vid dataintrång eller förlust av data. Företaget bör därför ta fram rutiner för vem på företaget som ska hantera frågor om till exempel en anställd förlorar sin laptop, sin företagstelefon, eller i händelse av dataintrång.

De nya reglerna om personuppgiftbe­handling är förenade med risk för mycket höga sanktionsavgifter för den som bryter mot dataskyddsförordningen. Det finns all anledning att inventera och framförallt dokumentera hur just ditt företag samlar in, behandlar och skyddar de personuppgifter som hanteras i verksamheten om du inte redan har tagit tag i den här uppgiften. Kontakta oss på Nordbro för hjälp med att bedöma om företagets behandling av personuppgifter är kompatibel med GDPR eller för att till exempel ta fram policys för personuppgiftsbehandling, biträdesavtal, samtyckesklausuler med mera.

Karin Langlois
Jurist, Nordbro