Skydda information

Vad är GDPR och hur påverkar det min organisation

Swedish 10 min Free Updated 2022-05-06

Få kan ha undgått att höra begreppet GDPR, General Data Protection Regulation, men vad är det och vad betyder det för din organisation. Faktum är att det betyder en hel del, både för organisationens medarbetare och för de kunder och partners ni har. Det är även ett regelverk som kan betyda ganska stora sanktioner om ni bryter mot det och även ett strikt rapporteringskrav om ni tror att personuppgifter exempelvis har läckt ut till obehöriga. Det är därför viktigt att alla i organisationen känner till detta regelverk och att ni har tänkt igenom hur ni efterlever det, och om det värsta skulle hända, att ni vet hur ni hanterar en personuppgiftsincident.

Vad är GDPR?

Så vad är då GDPR, eller Dataskyddsförordningen som den heter i Sverige, i korthet kan man säga att det är ett Europeiskt regelverk som har ersatt det gamla dataskyddsdirektivet samt de nationella lagar som hade införlivat detta direktiv, till exempel personuppgiftslagen (PUL) i Sverige. Förordningen har tillämpats sedan 25 maj 2018

Syftet är att skydda uppgifter om enskilda individer och att individen kan styra över sin egen information. Förenklat så har förordningen några viktiga principer som alla som lagrar information om individer måste följa dessa principer:

  1. principen om laglighet – ni måste säkerställa att själva hanteringen av personuppgifterna måste ha stöd i dataskyddsförordningen, dvs måste behandlas på ett lagligt, korrekt och öppet sätt
  2. principen om ändamålsbergränsning - ni får bara samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål och får inte behandlas för något ändamål som är oförenligt med dessa ändamål
  3. principen om uppgiftsminimering - ni får inte behandla fler personuppgifter än vad som är nödvändigt för ändamålen
  4. principen om riktighet - när ni lagrar personuppgifter ska ni se till att personuppgifterna är korrekta, om inte så ska uppgifterna uppdateras eller raderas
  5. principen om lagringsminimering - ni ska radera personuppgifterna när de inte längre behövs eller säkerställa att de anonymiseras på ett sådant sätt att de inte längre går att koppla till en individ
  6. principen om integritet och konfidentialitet - ni måste skydda personuppgifterna på ett sätt som säkerställer att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  7. principen om ansvarsskyldighet - ni ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det

Så vad innebär detta konkret för er. Kortfattat kan man säga att ni bör tänka på följande:

  • Samla inte in fler personuppgifter än ni verkligen behöver och enbart för det ändamål ni bestämt i förväg.
  • Spara inte uppgifterna längre än nödvändigt. Se till att ni har rutiner för att radera information eller att ni kan anonymisera den på ett sådant sätt att det inte går att koppla informationen till en specifik individ.
  • Använd lämpliga skyddsåtgärder för de personuppgifter ni hanterar i organisationen. Det kan till exempel vara att informationen krypteras och att ni säkerställer att endast behöriga personer kan komma åt den.
  • Säkerställ att ni informerat anställda, kunder och partners om vilka uppgifter ni samlar in och vad de används till. Det kan till exempel ske i anställnings-, service-, tjänste- eller användaravtal, eller som information på webbsida
  • Dokumentera era rutiner och processer för GDPR och säkerställ att alla medarbetare regelbundet får utbildning i de här frågorna.

Vad är personuppgifter

Personuppgifter är all information man kan koppla till en specifik individ. Det spelar ingen roll vilken relation ni har till individen, det kan vara en anställd, en partner, en kund eller någon annan enskild individ ni hanterar information om. Många gånger är inte informationen i sig inte identifierande. Om vi tar ett exempel med en bank. Tänk dig en kund som har ett kreditkort. Själva kreditkortet i sig, med tillhörande kontonummer, kortnummer, saldo och transaktioner är inte personuppgifter om det inte kan kopplas till en enskild kund. Men om det kan kopplas till en individ som är kontoinnehavare och har det specifika kortet så blir det personuppgifter. Den enskilda uppgiften kan inte identifiera kunden, men om man har tillgång till hela banksystemet så kan kontot kopplas till kontohavaren som troligen har uppgifter som personnummer, för- och efternamn, adress, e-post och telefonnummer som antingen själv eller i kombination kan identifiera individen.

Det är inte bara information i datasystem som berörs

Det är lätt att tänka sig att det bara är information i de affärssystem man har som berörs. I själva verket är det i alla datasystem, ja till och med information i pappersform om den lagras på ett strukturerat sätt. För att ge några exempel. Om ni har information om en individ i pappersform där det är någorlunda enkelt att söka fram, t.ex. en kundmapp i en arkivlåda eller i en pärm med flikregister så klassas det som personuppgifter. Om informationen ligger ostrukturerat i högar så är det en tolkningsfråga, men i princip ska alla papper som innehåller text som kan identifiera en individ hanteras som personuppgifter.

Information i digitalform kan vara epost, där e-postadressen ofta är direkt identifierande eller innehållet i mejlet. Även information i dokument kan innehålla personuppgifter, t.ex. texter om individer eller skärmdumpar med kunduppgifter.

När ni tänker igenom hanteringen av information i er organisation bör ni fundera på alla ställen ni lagrar information på.

Vad identifierar en person

Det finns många typer av information som direkt identifierar en individ. De kanske mest uppenbara är namn, personnummer och telefonnummer. Men det går även att identifiera en individ med hjälp av ålder och postnummer om det bara finns enstaka individer på det postnumret som har en viss ålder.

Det finns det information som är särskilt känslig

Det finns information ni i princip aldrig får lagra om en individ om det inte finns mycket starka skäl för er verksamhet. Denna typ av information måste även hanteras extra varsamt. Det rör framför allt information om människors hälsa, sexuella läggning, biometrisk information, politiska åsikter och etnicitet.

Vad är den lagliga grunden för att hantera information

Det kan finnas många skäl att ni ska lagra information om en kund, medarbetare eller annan individ ni har en relation med. Enligt GDPR måste ni dock ha ett giltigt skäl för lagringen och den ska framgå för individerna om de frågar. Det är inte heller tillåtet att hantera information utanför den rättsliga grunden. Enligt Förordningen finns det sex rättsliga grunder ni kan stödja er på. Alla är inte tillämpliga för alla typer av verksamheter och det blir vare sig mer eller mindre giltigt för att man använder flera principer, men ni måste uppfylla minst en.

Oavsett vilken grund ni stödjer er på för ett specifikt ändamål så ska det dokumenteras. Det ska även framgå motivet till det val ni gjort. När skälet att hålla informationen inte längre är giltigt så ska den raderas eller anonymiseras.

Den första och vanligaste är den avtalsmässiga grunden. Det är denna de flesta organisationer bör stödja sig på. Den innebär i korthet att ni som organisation beskriver att ni kommer lagra uppgifter för att kunna fullfölja ert åtagande gentemot individen. I avtalstexten ska det då framgå vilken typ av uppgifter ni kommer lagra, i vilket syfte och hur länge. Ett exempel på ett sådant avtal kan vara ett anställningsavtal där det till exempel framgår att ni kommer spara material som den anställde producerat för organisationen, loggar från användningen av organisationen system och utrustning, uppgifter relevanta för HR. Det är rimligt att informationen sparas en viss tid efter anställningens upphörande där vissa saker kanske sparas mycket länge, t.ex. dokumentation den anställde skrivit eller liknande för sitt arbete, och annat som loggar kanske bara sparas i något år för att kunna utreda om oegentligheter förekommit. När det gäller en kund så kan det handla om organisationen måste lagra information för att kunna fullgöra sina åtaganden mot kunden, till exempel så måste man ofta hålla ett uppdaterat kund-, order- och kundresponsregister för att kunna hantera de tjänster en kund erbjuds och köper,

Ett annat skäl är intresseavvägning. Det bygger på att organisationen kan hantera personuppgifter utan föregående samtycke om företagets intressen kan anses väga tyngre än individens. Ett exempel på detta är att ett företag får använda en kunds e-postadress för att skicka reklam. Däremot har kunden rätt att motsätta sig detta och då upphör detta skäl avseende den kunden.

Nästa skäl är rättslig förpliktelse. Det innebär att det kan finnas lagar inom den verksamhet som håller informationen som säger att individens uppgifter måste lagras. Exempel på sådana skäl är anställningsinformation, bokföringsunderlag eller information som krävs till myndighetsrapportering, till exempel för en bank.

Myndighetsutövning är inte ett skäl som företag åberopar. Detta skäl handlar om att myndigheter har rätt att hantera information för att kunna utföra sina myndighetsuppgifter eller som kan anses ligga inom myndighetens område och samtidigt betraktas vara av allmänintresse.

Samtycke är ett vanligt skäl. Då har en individ gett ett uttryckligt samtycke för en specifik hantering. Ett vanligt exempel är när någon prenumererar på ett nyhetsbrev. Kom ihåg att personen kan dra tillbaka sitt samtycke när som helst och då måste detta respekteras.

Det sista skälet är grundläggande intresse. Det är ett mycket ovanligt skäl att stödja sig på som företag. I princip rör det bara verksamheter som värnar människors liv och hälsa, till exempel vårdbolag.

Vad är nästa steg

För att efterleva GDPR måste ni sätta upp rensningsrutiner och säkerställa att de efterlevs. Så snart det inte längre finns skäl att hålla informationen enligt den grund ni stödjer er på så ska den raderas eller anonymiseras på ett sådant sätt att det blir i det närmaste omöjligt att se vem individen är som informationen hör till.

Varje individ har rätten att bli bortglömd. Innebär det att ni omedelbart måste radera all information om individen. Det beror på vilken typ av verksamhet ni driver och vilken typ av information det rör sig om. Låt oss säga att en kund skrivit ett inlägg på era sociala medier och nu begär att bli glömd. Då måste ni i princip radera all information om detta inlägg, men det finns undantag. Låt oss säga att inlägget innehåller information som skulle kunna vara brottslig, till exempel förtal, hets mot folkgrupp eller liknande. Då får eller rent av ska informationen sparas och hanteras på det sätt som sådana brott ska hanteras. Om en kund begär att bli glömd, men har gjort ett antal köp så kan information om dessa köp behöva hållas till garantitid för produkten gått ut, tiden för reklamation gått ut eller om det är bokföringsmaterial så länge som bokföringslagen kräver.

Vi har ett antal artiklar kring GDPR, alltifrån rensningsrutiner till anonymisering. Botanisera gärna bland dem.