Företags hantering av personuppgifter
Dataskyddsförordningen gäller i hela EU och har bland annat till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter. Ett svenskt företag som är verksamt i flera EU-länder och följer dataskyddsförordningen, ska inte behöva oroa sig för att förordningen tillämpas på olika sätt i dessa länder.
Har ni tillräcklig kunskap om dataskyddsförordningen?
Försäkra er om att beslutsfattare och nyckelpersoner på företaget har kännedom om dataskyddsförordningen. Som företag är ni skyldiga att säkerställa att de som har tillgång till personuppgifter i er verksamhet bara behandlar dessa enligt företagets instruktioner.
Har ni koll på er personuppgiftsbehandling?
För att kunna följa reglerna i dataskyddsförordningen behöver ni veta vilka personuppgifter som ni hanterar inom olika delar av er organisation, varifrån uppgifterna samlas in och till vem de lämnas ut. Ni ska också kunna visa att er behandling av personuppgifter är laglig. Dataskyddsförordningen ger även de registrerade ett flertal rättigheter som ni är skyldiga att tillgodose när ni behandlar deras personuppgifter. Om ni till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, kan ni behöva informera mottagaren om detta så att denne i sin tur kan rätta sina egna register. Ni kommer inte att kunna uppfylla detta krav om ni inte har kontroll på era behandlingar.
Beroende på bland annat företagets storlek eller vilka risker era behandlingar medför kan det gälla ett krav på att föra register över era behandlingar. Oavsett om det är ett krav för er, så kan en sådan dokumentation hjälpa er att ha kontroll på er personuppgiftsbehandling både för att uppfylla dataskyddsförordningens krav i olika avseenden och kunna visa att behandlingen är laglig. Andra sätt som också kan hjälpa er med detta är att införa en policy för dataskydd och att ha tydliga rutiner för hanteringen av personuppgifter.
Grundläggande principer för behandling av personuppgifter
När ni hanterar personuppgifter måste ni alltid följa vissa grundläggande principer. Exempel på sådana principer är att bara samla in personuppgifter för bestämda och berättigade ändamål, inte samla in fler uppgifter än vad som behövs för varje specifikt ändamål, inte senare använda uppgifterna på ett sätt som är oförenligt med de ursprungliga ändamålen, inte spara uppgifterna längre än nödvändigt och skydda uppgifterna exempelvis genom att begränsa vilka inom er organisation som ska ha tillgång till dem.
Grundläggande principer enligt dataskyddsförordningen
Med stöd av vilken rättslig grund behandlar ni personuppgifter?
All behandling ska ha stöd i någon rättslig grund. I dataskyddsförordningen finns krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är även därför viktigt att ni redan från början har gjort klart vilken rättslig grund som ni stödjer behandlingen på. Dessutom beror vissa av de registrerades rättigheter på vilken rättslig grund som det är fråga om. Det finns till exempel större möjlighet för registrerade att motsätta sig behandling som stödjer sig på en intresseavvägning.
Exempel på rättsliga grunder som kan vara aktuella att använda när företag hanterar personuppgifter
- Lönesystem: avtal och rättslig förpliktelse
- Kundregister: avtal (för vissa uppgifter krävs samtycke eller intresseavvägning)
- Webbplats: samtycke eller intresseavvägning
De grundläggande principerna och kravet på rättslig grund måste ni alltid följa. I vissa fall tillkommer flera regler. På vår webbplats finns information om de ytterligare regler som gäller för att få behandla känsliga personuppgifter, brottsuppgifter eller personnummer, om personuppgifterna överförs till tredje land (utanför EU/EES-området) eller om ni anlitar ett personuppgiftsbiträde (någon utanför er organisation som ska behandla personuppgifter för er räkning).
Rättslig grund enligt dataskyddsförordningen
Vad krävs för ett giltigt samtycke?
För att ni ska kunna stödja er behandling av personuppgifter på samtycke gäller särskilda krav. Ett giltigt samtycke enligt dataskyddsförordningen ska vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Det betyder exempelvis att ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats inte godtas. Det ska vara lika lätt att återkalla sitt samtycke som det var att ge det.
Om ni vill stödja er på samtycke för att behandla personuppgifter behöver ni försäkra er om att alla kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste ni antingen förändra era rutiner eller kunna stödja behandlingen på någon annan rättslig grund.
Dataskyddsförordningen ställer krav på att den som behandlar personuppgifter med stöd av samtycke ska kunna visa att ett samtycke har lämnats. Ni bör därför ta ställning till hur ni kan visa att ett giltigt samtycke har lämnats.
Samtycke enligt dataskyddsförordningen
Behandlar ni personuppgifter om barn?
Ta ställning till hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online.
Genom dataskyddsförordningen gäller ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Om man erbjuder onlinetjänster till barn och då hämtar in personuppgifter med stöd av samtycke, krävs det att samtycket hämtas in från barnets vårdnadshavare om barnet är under 13 år. Detta gäller insamling av uppgifter om barn som bor i Sverige. I andra EU-länder kan vårdnadshavarens samtycke krävas ända upp tills barnet är 16 år. Vårdnadshavares samtycke krävs dock inte för sådana onlinetjänster som erbjuder hjälp och stöd direkt riktat till barn och ungdomar.
Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning.
Behandling av barns personuppgifter
Behöver ni göra en konsekvensbedömning?
Ta ställning till om er personuppgiftsbehandling är förenad med särskilda risker för de registrerade och om ni i så fall måste göra en konsekvensbedömning.
Dataskyddsförordningen ställer högre krav på den som vill behandla personuppgifter som kan leda till höga risker för enskilda. Syftet är att skydda människors fri- och rättigheter och att minimera riskerna vid sådan behandling.
Om er behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter måste ni göra en konsekvensbedömning. Exempel på när konsekvensbedömning krävs är om ni vill använda kunders lokaliseringsuppgifter i syfte att rikta marknadsföring till kunder eller planera era marknadsföringsstrategier, eller i stor omfattning behandlar uppgifter om kunders tidigare misskötsamhet (en s.k. svart lista) i syfte att avgöra om personen ska få återkomma som kund eller inte.
I vissa situationer kan ni också behöva begära förhandssamråd hos IMY.
Kan ni uppfylla de registrerades rättigheter?
Se över era rutiner för att säkerställa att ni kan uppfylla de rättigheter som de registrerade har enligt dataskyddsförordningen. Dataskyddsförordningen ställer höga krav på den information som måste lämnas till de registrerade, inte minst när personuppgifter samlas in. Exempel på information som ska lämnas när personuppgifter samlas in är den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras, vilka rättigheter som dataskyddsförordningen ger den registrerade vid behandlingen såsom möjligheten att ge in ett klagomål till IMY för den som anser att ni har hanterat dennes personuppgifter i strid med dataskyddsförordningen. Informationen till de registrerade ska vara klar och tydlig.
Exempel på andra rättigheter för registrerade är att få tillgång till sina personuppgifter, få felaktiga personuppgifter rättade, få sina personuppgifter raderade i vissa fall, motsätta sig att personuppgifterna behandlas för direkt marknadsföring, invända mot behandling som utförs med stöd av en intresseavvägning och i vissa fall kräva begränsning av användningen av personuppgifterna, exempelvis i avvaktan på er bedömning av om behandlingen får fortsätta efter att den registrerade har invänt mot behandlingen.
Ni har en skyldighet att underlätta för registrerade att utöva sina rättigheter. Ni ska också hantera en begäran från en registrerad om att utöva sina rättigheter utan onödigt dröjsmål och inom de tidsfrister som anges i dataskyddsförordningen, med möjlighet till förlängd tid i vissa fall. Den registrerade ska utan dröjsmål få information om eventuell förlängd tid och om orsakerna till förseningen, de åtgärder ni har vidtagit på begäran, om ni inte vidtar åtgärder på den registrerades begäran informera om orsaken till detta samt om möjligheten att lämna in ett klagomål till IMY och begära rättslig prövning.
Registrerades rättligheter enligt dataskyddsförordningen
Har ni rutiner för personuppgiftsincidenter?
Se till att ni har tillräckliga rutiner för att hantera personuppgiftsincidenter.
Dataskyddsförordningen innehåller bestämmelser om vad ni som organisation måste göra vid personuppgiftsincidenter, exempelvis om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser. Om det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till IMY. I vissa situationer behöver ni även informera de registrerade om personuppgiftsincidenten.
Behöver ni ha ett dataskyddsombud?
Dataskyddsförordningen ställer krav på att vissa organisationer måste utse och anmäla ett dataskyddsombud. Det är fallet om ni i er kärnverksamhet i stor omfattning antingen behandlar känsliga personuppgifter eller brottsuppgifter, eller utför behandling som kräver regelbunden och systematisk övervakning av enskilda. Ombudet ska hjälpa er att följa dataskyddsförordningen, till exempel genom att ge råd och utföra vissa kontroller. Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt.
Har ni utformat era it-system och rutiner med hänsyn till dataskyddsreglerna?
Ni ska ta hänsyn till dataskyddsförordningen redan när ni utformar era it-system och rutiner. Det kallas för inbyggt dataskydd eller privacy by design. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Det kan också förhindra onödiga framtida kostnader.
Har ni verksamhet i flera länder?
Om ert företag bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför. Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om ni har verksamhet i flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar som ni utför. Förordningens regler kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sin centrala förvaltning eller var beslut om personuppgiftsbehandling fattas.
I organisationer med traditionella upplägg, där alla viktiga beslut fattas på huvudkontoret, skapar detta normalt inga större problem. Det kan vara svårare att avgöra i organisationer med spridda ansvarsområden, där beslut om personuppgiftsbehandlingen kan fattas på olika ställen. I sådana fall kan olika behandlingar falla under olika tillsynsmyndigheters behörighet. Det kan alltså vara bra att kartlägga var i er organisation som de viktigaste och mest betydelsefulla besluten om personuppgiftsbehandling fattas.
Gränsöverskridande personuppgiftsbehandling
Mer information för företag
Fördjupa digGuider för företag
Vi guidar digGDPR-guide för små och medelstora företag
Den Europeiska dataskyddsstyrelsen, EDPB, har tagit fram en GDPR-guide för små och medelstora företag. Guiden är till för att underlätta efterlevnaden av dataskyddsförordningen. Den täcker olika aspekter av GDPR och innehåller bland annat videor, interaktiva flödesscheman och annat praktiskt material för att hjälpa er att bli GDPR-kompatibla.
GDPR-guide för små och medelstora företag
Den Europeiska dataskyddsstyrelsen, EDPB, har tagit fram en GDPR-guide för små och medelstora företag. Guiden är till för att underlätta efterlevnaden av dataskyddsförordningen. Den täcker olika aspekter av GDPR och innehåller bland annat videor, interaktiva flödesscheman och annat praktiskt material för att hjälpa er att bli GDPR-kompatibla.
Checklista
Grundläggande principer
-
1
Bestäm ändamålet
Varför ska ni behandla personuppgifter? Vad är ert syfte?
-
2
Hitta en rättslig grund
Vilken rättslig grund i dataskyddsförordningen stödjer ni er på när ni behandlar personuppgifter?
-
3
Informera de registrerade
Är informationen lätt att hitta och är den lätt att förstå för de registrerade?
-
4
Ha rätt uppgifter
Behandlar ni bara de personuppgifter som ni behöver för ändamålet? Har ni för mycket personuppgifter?
-
5
Skydda personuppgifterna
Har ni vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder? Har ni gjort en risk- och sårbarhetsanalys?
-
6
Radera uppgifter
Har ni rutiner för att radera personuppgifter när de inte längre behövs för ändamålet?
-
7
Visa att ni gör rätt
Har ni dokumenterat er personuppgiftsbehandling, inklusive beslut och överväganden? Har ni skapat interna riktlinjer för dataskydd och hantering av personuppgifter?