Har du tagit tag i företagets behandling av personuppgifter sedan den nya dataskyddsförordningen trädde i kraft den 25 maj 2018? Annars är det hög tid att se över personuppgiftshanteringen nu.
Vi på Nordbro har fått många frågor om GDPR sedan den nya dataskyddsförordningen trädde i kraft. GDPR slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en nu levande person och gäller i samtliga EU-länder. Meningen med den nya lagstiftningen är att skapa ett effektivt skydd av personuppgifter över hela unionen.
Det är bara yrkes-eller affärsmässig verksamhet som omfattas av förordningen och de nya bestämmelserna tillämpas alltså för företag, myndigheter och andra organisationer.
GDPR innebär ett stopp för slentrianmässigt insamlande av personuppgifter, och företag som vill lagra en personuppgift måste tänka igenom varför uppgiften hämtas in, och vilka personuppgifter det alls finns anledning att samla in. Tänk på att GDPR också omfattar sådan lagring av personuppgifter som rör företagets egen personal.
Behandlar du personuppgifter måste du kunna svara på frågan vilken rättslig grund du har för att samla in personuppgiften och för att lagra denna. Rent generellt kan sägas att behandlingen är laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal. Om det finns ett berättigat intresse, till exempel i sådana situationer där den registrerade är kund hos, eller arbetar för, den som samlar in personuppgiften kan detta också utgöra rättslig grund för behandlingen. Ändamålen med insamlingen av personuppgifter måste dock vara tydliga och legitima och ska ha bestämts redan vid den tidpunkt du samlar in personuppgiften.
En annan rättslig grund kan vara att den registrerade i fråga lämnat sitt samtycke till att du behandlar personuppgifter om honom/henne, och till hur företaget tänker använda sig av uppgifterna i framtiden. Ett samtycke från den registrerade måste vara frivilligt, och ändamålet med hanteringen ska tydligt framgå och vara lättläst. Det ska vara lika enkelt att återkalla ett samtycke som det var att initialt lämna samtycket. Var dock observant på att samtycke inte är en universallösning, och du ska därför alltid överväga om du har någon annan rättslig grund att stödja personuppgiftsbehandlingen på än samtycke.
För att påvisa att företaget följer dataskyddförordningen ska du som hanterar personuppgifter föra register över den behandling som sker under ditt ansvar. Företag är skyldiga att samarbeta med tillsynsmyndigheten (Datainspektionen) och på dennes begäran göra registret tillgängligt för myndigheten.
Företag behöver skydda personuppgifterna så att obehöriga inte kan få tillgång till dem. Dataskyddsförordningen medför regleringar kring dataskydd och tekniska lösningar för att skydda personuppgifter. De nya reglerna medför också att företaget kan behöva överväga om det är nödvändigt att upprätta sekretessavtal med anställda som hanterar personuppgifter. Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet och förhindrar obehöriga tillträde till dem och den utrustning som används för behandlingen (inbyggt skydd). I vissa fall föreligger en anmälningsplikt till Datainspektionen inom 72 timmar vid dataintrång eller förlust av data. Företaget bör därför ta fram rutiner för vem på företaget som ska hantera frågor om till exempel en anställd förlorar sin laptop, sin företagstelefon, eller i händelse av dataintrång.
De nya reglerna om personuppgiftbehandling är förenade med risk för mycket höga sanktionsavgifter för den som bryter mot dataskyddsförordningen. Det finns all anledning att inventera och framförallt dokumentera hur just ditt företag samlar in, behandlar och skyddar de personuppgifter som hanteras i verksamheten om du inte redan har tagit tag i den här uppgiften. Kontakta oss på Nordbro för hjälp med att bedöma om företagets behandling av personuppgifter är kompatibel med GDPR eller för att till exempel ta fram policys för personuppgiftsbehandling, biträdesavtal, samtyckesklausuler med mera.
Karin Langlois
Jurist, Nordbro