EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen ersätter den svenska personuppgiftslagen (PUL) som gällt i Sverige fram till 25 maj 2018. GDPR ställer bland annat större krav på dokumentation och information från de som hanterar personuppgifter. Förordningen tillämpas från och med 25 maj 2018.
Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som organisationer bara behöver förhålla sig till ett enda regelverk i sin verksamhet, oavsett var man utövar verksamheten.
GDPR gäller för samtliga företag/myndigheter/föreningar och i vissa fall även privatpersoner som behandlar personuppgifter gällande EU-medborgare. Den gäller all personuppgiftsbehandling i systematisk form, i princip all form av elektronisk hantering av personuppgifter, inklusive register, databaser och löpande text. Den kan även gälla viss manuell hantering, t ex register man har på papper.
Förordningen gäller för den personuppgiftsansvarige, dvs den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträde, dvs den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.
Både en personuppgiftsansvarig och ett personuppgiftsbiträde har alltså ansvar för att GDPR följs. Båda måste t ex föra register över behandling och ha ett eget ansvar för säkerhet. Använder du någon annan för att behandla dina personuppgifter så är du tvungen att ha ett skriftligt personuppgiftsbiträdesavtal med denne, tillsammans med en instruktion om hur biträdet får behandla de personuppgifter som du är ansvarig för.
En personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person (människa/fysisk person). Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person.
Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn, kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person.
Det är inte bara text som räknas som personuppgifter utan även bilder, ljudupptagningar, fingeravtryck, IP-adresser eller andra uppgifter som på ett annat sätt kan används till att identifiera en individ.
En uppgift om en juridisk person, t ex ett aktiebolag, är inte en personuppgift. Men namnet på en person som jobbar i ett företag kan vara en personuppgift.
Vissa kategorier av personuppgifter anses vara känsliga personuppgifter. Det gäller uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter samt uppgifter om hälsa. Här gäller ännu mer restriktiva regler.
En personuppgiftsbehandling är allting man kan göra med en personuppgift och några vanliga exempel är att samla in den, spara en uppgift, ändra, titta på, skriva ut, ta bort, förstöra m.m. Har du någon gång samlat, hämtat eller köpt in en personuppgift och har den i elektronisk form så kan du räkna med att du gör en personuppgiftsbehandling.
Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Personuppgifter får inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.
Man har bara laglig rätt att behandla personuppgifter om man har en så kallad rättslig grund. De 4 olika grunder som man normalt kommer att använda sig av är samtycke, avtal, rättslig förpliktelse eller intresseavvägning.
Samtycke är ett sätt att hämta ett uttryckligt godkännande från kunden. Avtal ger dig rätt att behandla personuppgifter för att kunna uppfylla det ni ingått avtal om. Rättslig förpliktelse är t.ex. att man är tvungen att spara bokföringsunderlag i 7 år enligt bokföringslagen eller att man är tvungen att skicka in en inkomstdeklaration till skatteverket. Intresseavvägning innebär att du anser att ditt intresse av att behandla uppgiften väger tyngre än den registrerades rätt till att inte bli behandlad.
Den registrerade har rätt att få tillgång till de personuppgifter som företaget har registrerat om denne. Dessutom kan den registrerade begära att företaget ska rätta eller radera data som finns om denne. Den som har lämnat sina personuppgifter har även i vissa fall rätt att få ut uppgifterna i flyttbar form och använda uppgifterna på annat håll (dataportabilitet).
Det finns ett antal saker du måste göra för att följa GDPR. Du måste t ex dokumentera alla personuppgiftsbehandlingar. En sådan dokumentation måste innehålla uppgifter om den rättsliga grunden för behandlingen, varför du behandlar uppgiften, hur länge du behandlar uppgiften och vilka personuppgifter som samlas in.
Ett exempel är klubbens medlemsregister. I ett sådant fall så är syftet att klubben och medlemmen skall kunna uppfylla sina plikter gentemot varandra. Ni behöver ha namn, adress och övriga kontaktuppgifter för att kunna kommunicera med medlemmen. Ni behöver kunna identifiera medlemmen för att genomföra er verksamhet med t ex utbildning, tävlingsverksamhet, hamn- och varvsdrift.
Du måste uppge lagringstiden för det du hämtat in, vilket (i fallet med medlemsregistret) är så länge personen är medlem i klubben. Den rättsliga grunden i detta är att uppgiften behövs för att ni ska kunna fullgöra avtalet (avtalet i detta fall utgörs av klubbens stadgar i första hand, det kan även röra sig om andra enskilda avtal).
Du måste också informera om vilka personuppgifter du samlar in, för vilket syfte och hur länge dessa sparas. Detta kan t ex göras på en hemsida, via e-post eller i ett avtal. Du måste även informera era medlemmar om deras rätt att få sina uppgifter rättade eller raderade och om deras rätt att få ut de personuppgifter som de lämnat till dig genom registerutdrag och rätt att få ut uppgifterna i flyttbar form (dataportabilitet).
Både personuppgiftsansvariga och personuppgiftsbiträden kan drabbas av böter om man inte följer GDPR. Man kan bli tvungen att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning om man inte sköter sig.
Om det inträffar ett dataintrång eller någon annan incident som påverkar säkerheten måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva meddela de registrerade. Det kan t ex handla om personuppgifter som genom hackning eller slarv blivit stulna, exponerats felaktigt på internet, felaktigt förstörts eller ändrats.