GDPR ersätter PUL
EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen börjar gälla direkt som lag i alla medlemsstater och har från och med 25 maj 2018 ersatt personuppgiftslagen (PUL) här i Sverige. För dig som hanterar personuppgifter har vi tagit fram en lättanvänd mall som snabbt och enkelt hjälper dig att upprätta ett juridiskt korrekt personuppgiftsbiträdesavtal.
1. Varför införs GDPR?
Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.
2. Är det tillåtet enligt dataskyddsförordningen (GDPR) att skicka fakturor via mejl? Jag är fastighetsägare och hyresavierna innehåller hyresgästens personnummer, är det ok?
Fakturor går normalt bra att skicka via mejl (eftersom de sällan innehåller några känsliga personuppgifter såsom t ex hälsa, politiska åsikter, religion mm). Personnummer räknas inte som en känslig personuppgift men däremot får personnummer bara behandlas (t ex skickas med e-post) om det är klart motiverat med hänsyn till ändamålet med behandlingen.
Om inte hyresgästens personnummer behöver anges på fakturorna i detta fall torde det inte vara motiverat att ha med det. Då bör man plocka bort personnumret. Ett annat alternativ är att utesluta de fyra sista siffrorna i personnumret för då räknas det inte som ett personnummer enligt GDPR.
3. Gäller den nya dataskyddsförordningen (GDPR) bara företag eller även privatpersoner?
GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter.
4. Om en kund hävdar rätten att bli glömd enligt dataskyddsförordningen (GDPR) måste vi radera allt om den personen?
Rätten att bli bortglömd gäller bara om:
• uppgifterna inte längre behövs för de ändamål som de samlades in för
• behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
• behandlingen grundar sig på berättigat intresse som den registrerade bestrider och som avgörs vara ogiltigt
• personuppgifterna har behandlats olagligt.
En kund kan alltså inte begära att få bli bortglömd om du måste behålla personuppgifter för att uppfylla en rättslig skyldighet. Ett exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt bokföringslagen.
5. Kan man inte skicka lönespecifikationer med mejl nu när GDPR börjat gälla?
Lönespecifikationer riskerar att innehålla känsliga personuppgifter (främst kopplat till den anställdes hälsa, t ex sjukavdrag, sjuklön, osv) och är därmed olämpliga att skicka med vanlig mejl. Skulle inte lönespecifikationerna innehålla uppgifter som klassificeras som känsliga är det förvisso inget som hindrar att mejl fortsätter användas – men det kan ju ändå vara ett bra tillfälle att byta till en bättre metod (och då menar vi inte att återgå till lönespecifikationer på papper som kanske skickas med posten). En löneapp eller en webbtjänst som kräver inloggning är lämpliga val.
6. Vad innebär rätt till dataportabilitet?
En kund som lämnat sina personuppgifter till ett företag har rätt att få ut sina personuppgifter i elektronisk form och använda uppgifterna på annat håll. Företaget som tagit emot personuppgifterna är skyldigt att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att företaget behandlar personuppgifterna med stöd av ett samtycke från kunden eller för att uppfylla ett avtal med kunden. Troligtvis kommer detta att bli vanligast om en person vill flytta sina uppgifter från ett socialt nätverk till ett annat, t ex gmail, dropbox, twitter osv.
Vill du veta mer om GDPR kan vi rekommendera boken Dataskyddsförordningen GDPR.
Du kan även använda vår checklista som hjälp på vägen i ditt GDPR-arbete.