Advokaten Agneta: Om GDPR och personuppgifter

Hej Agneta, Det talas numera mycket om GDPR i media. Vad betyder det? Jag vet att det handlar om personuppgifter, men vad innebär det för mig som privatperson och för mitt lilla företag? Med vänlig hälsning, Östen

Hej,
Tack för din fråga om GDPR, som min IT-kunniga kollega advokaten Thomas Nyman biträtt mig med att besvara. GDPR är en förkortning av General Data Protection Regulation, det vill säga. Europaparlamentets och rådets (EU) förordning 2016/679 av den 27 april 2016, som vi på svenska kallar dataskyddsförordningen.
Dataskyddsförordningen gäller från och med den 25 maj 2018 i EU:s medlemsstater. Det blir därmed samma regelverk som gäller för alla i hela EU. Dataskyddsförordningen ersätter i Sverige personuppgiftslagen, allmänt kallad ”PUL”.
Genom dataskyddsförordningen stärks enskilda personers rättigheter om hur företag, myndigheter och organisationer får samla in och använda personuppgifter. Alla som hanterar personuppgifter berörs av dataskyddsförordningen. Personuppgifter är all information som direkt eller indirekt kan knytas till en fysisk person, till exempel personnummer, namn, adress, e-post eller foton.
Det är viktigt att veta vilka regler som gäller när du hanterar personuppgifter. Företag som bryter mot reglerna riskerar höga böter som kan uppgå till 20 miljoner euro eller fyra procent av företagets globala omsättning.
För att det ska vara tillåtet att registrera personuppgifter måste det finnas stöd i lag, vilket kallas rättslig grund. De finns olika rättsliga grunder för att insamla och hantera personuppgifter.
Samtycke är en rättslig grund, det vill säga en frivillig, specifik, tydlig och otvetydig viljeyttring, varvid en enskild person godtar annans behandling av vederbörandes personuppgifter. Om till exempel samtycke lämnats för att ni ska få sända marknadsföring till en viss person, så måste ni också informera om rätten att återkalla samtycket, vilket innebär att ni då måste sluta skicka reklam till personen.
Andra rättsliga grunder är om det är nödvändigt för att fullgöra ett avtal, till exempel ett anställningsavtal, kundavtal eller ett leverantörsavtal. Det kan också vara så att uppgiften behövs för att fullgöra en rättslig förpliktelse, till exempel för att fullgöra bokföringsskyldigheten enligt lag. Personuppgiften kan även behövas för att skydda den registrerades grundläggande intressen eller för att innehavaren ska kunna fullgöra en uppgift av allmänt intresse eller i myndighetsutövning. Vidare kan rätt att hantera personuppgifter föreligga efter en intresseavvägning.
En och samma personuppgift kan hanteras med stöd av flera olika rättsliga grunder, till exempel samtycke och att företaget behöver personuppgiften för ett avtal. Det är viktigt att alla som hanterar personuppgifter dokumenterar den rättsliga grunden för att hantera personuppgifter.
För dig som enskild privatperson innebär dataskyddsförordningen att den som insamlar personuppgifter med samtycke tydligt måste informera dig om vilka personuppgifter som insamlas. Det ska vara tydligt varför insamling av personuppgifter sker och vad man tänker göra med informationen. Dataskyddsförordningen förbjuder som huvudregel insamlandet av känsliga personuppgifter, till exempel uppgifter om religiös övertygelse, politisk åsikt eller hälsa.
Du kan begära rättelse av en uppgift som är felaktig, ofullständig eller missvisande. För det fall att företaget hanterar dina uppgifter med stöd av ditt samtycke, ska företaget ange hur du återkallar ditt tidigare lämnade samtycke. Som enskild har du också rätt att få ett registerutdrag eller att de registrerade uppgifterna överförs.
Ditt företag måste kunna visa att ni har full kontroll över personuppgiftshanteringen. Fundera om ditt företag verkligen behöver alla uppgifter ni samlar och hur länge ni i sådana fall behöver dem. Ni får inte samla in mer än vad ni behöver för ert syfte med insamlandet och ni får heller inte behålla uppgifterna längre än nödvändigt. Dataskyddsförordningen ställer också krav på att den som hanterar personuppgifter säkerställer att uppgifterna skyddas. Säkerhetsintrång måste rapporteras.
De som hanterar personuppgifter bör till exempel överväga följande frågor: Vem är ansvarig för att personuppgifter hanteras korrekt? Hur sker dokumentation? Varför samlas uppgifter in? Hur hanteras och skyddas uppgifterna? Hur ska uppgifterna användas? Vilken är den rättsliga grunden för att hantera personuppgiften? Hur länge ska uppgifterna sparas?
För dig som har ett mindre företag finns en kostnadsfri enkel guide om vissa av reglerna i dataskyddsförordningen för hantering av uppgifter om till exempel kunder, leverantörer och anställda. Guiden hittar du på www.verksamt.se. Vill du läsa mer om dataskyddsförordningen rekommenderar jag Datainspektionens (Integritetsskyddsmyndighetens) hemsida. Om frågor därefter uppstår bör du tala med en advokat, som kan hjälpa dig i det enskilda fallet.
Inom ramen för denna krönika är det inte möjligt att närmare redovisa alla förändringar Dataskyddsförordningen innebär. Sammanfattningsvis kan noteras att du som privatperson får ett bättre skydd och ni som hanterar personuppgifter måste se över ert insamlande och kontrollera att ni följer regelverket.
Veckans visdomsord som rör personuppgifter är George Orwells ”Big brother is watching you” samt Marlon Brandos ”Privatliv är inte enbart något jag har rätt till, det är en nödvändig förutsättning”. Förhoppningsvis knyter GDPR våra tankar om integritet mer till det senare än det förra.
AGNETA GUSTAFSSON

Fler Artiklar
Klicka och läs!