Personuppgifter - GDPR

Livscykeln för personuppgifter

För att förstå innebörden av EU:s allmänna dataskyddsförordning (GDPR) är det bra att förstå livscykeln för personuppgifter. Alla företag som behandlar personuppgifter tillhörande individer inom EU/EES-området omfattas av GDPR, oavsett var företaget är etablerat. GDPR är en EU-förordning som började gälla 2018. 

Vad är en personuppgift?

När det går att knyta en uppgift till en fysisk levande person, är uppgiften ifråga en personuppgift. Anknytningen till den fysiska personen kan vara både direkt eller indirekt. Ett exempel på en direkt personuppgift är namn, och en indirekt personuppgift är registreringsnumret tillhörande en privatägd bil. Dessutom kan bilder, videor och ljudinspelningar också vara personuppgifter. 

Vad är integritetskänsliga personuppgifter enligt GDPR?

Det finns fyra grupper av integritetskänsliga personuppgifter i GDPR, varav en av grupperna utgör känsliga personuppgifter. De integritetskänsliga personuppgifterna utgör viktigare personuppgifter än till exempel ett förnamn. Detta innebär att integritetskänsliga personuppgifter måste bli behandlade med högre säkerhet. Dessutom kan det kräva att företaget utför en konsekvensbedömning innan behandlingen påbörjas, för att se om behandlingen är tillåten eller inte.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Olika roller i GDPR

  • Personuppgiftsansvarig
  • Personuppgiftsbiträde
  • Dataskyddsombud

Förbud att behandla känsliga personuppgifter enligt huvudregeln

Det är inte tillåtet att behandla känsliga personuppgifter enligt huvudregeln i artikel 9 i GDPR. Däremot finns det några undantag från huvudregeln. Exempel på känsliga personuppgifter är uppgifter som avslöjar information om en persons religiösa tro, politiska åsikter eller medlemskap i föreningar. 

Är uppgifter om en persons hälsa en känslig personuppgift?

Ja, uppgifter om en individs hälsa är känsliga personuppgifter. Detta är dock en av de vanligaste känsliga personuppgifterna som företag behandlar. Till exempel behandlar arbetsgivare information om de anställdas sjukfrånvaro, för att beräkna en korrekt lön och fullgöra sin rapporteringsskyldighet till relevanta myndigheter. Företaget bör dock inte skicka en lönespecifikation via okrypterad mejl om specifikationen innehåller information om sjukfrånvaro, eftersom det inte är tillräckligt säkert. 

Tre steg i livscykeln för personuppgifter

Det finns tre centrala steg i livscykeln för personuppgifter, och nedan följer en beskrivning av dem. 

Steg 1: Företaget får tillgång till personuppgifterna

Det första som sker i livscykeln för personuppgifter är att företaget samlar in personuppgifterna. Insamlingen måste ske i enlighet med reglerna i GDPR för att vara laglig och tillåten. Detta innebär bland annat att företaget måste: 

  • Ha en rättslig grund för behandlingen av personuppgifterna: Alla behandlingar av personuppgifter måste ske med stöd i en rättslig grund för att vara laglig. Det finns totalt sex (6) stycken rättsliga grunder att välja mellan i GDPR. Bland annat samtycke, avtal med registrerade, berättigat intresse. 
  • Informera den registrerade om behandlingen av personuppgifterna: Företag ska dessutom informera de registrerade om behandlingen av deras personuppgifter. Om personuppgifterna blir insamlade från den registrerade direkt, ska informationen om behandlingen ges i samband med insamlingen. Det ska bland annat framgå vilken rättslig grund företaget använder, hur länge behandlingen pågår, vilka rättigheter de registrerade har m.m. Informationen bör framgå i ett skriftligt integritetsmeddelande som presenteras före insamlingen. 

Steg 2: Företaget behandlar personuppgifterna

Det finns mycket som företag behöver tänka på under tiden de behandlar personuppgifterna, alltså inom steg två i livscykeln för personuppgifter. Företaget behöver bland annat: 

An administrative fine

Skydda personuppgifterna

Företaget måste skydda personuppgifterna som blir behandlade. Ju viktigare personuppgifterna är, desto högre är säkerhetskraven. För att kunna skydda personuppgifterna, måste företaget vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder. Till exempel genom att implementera antivirusskydd, ta säkerhetskopior, styra åtkomstbehörigheter och skapa en god säkerhetskultur inom organisationen.

Kunna tillgodose de registrerades rättigheter

De registrerade har ett antal rättigheter enligt GDPR, som företag behöver kunna tillgodose vid begäran. Dessutom ska tillgodoseendet ske inom en viss tid, normalt inom en månad från mottagandet av begäran. Därför behöver företaget först och främst känna till vilka rättigheter de registrerade har, sedan informera de registrerade om dem samt kunna tillgodose dem i praktiken. Därför är det bra för företag att skapa interna rutiner kring detta.

Periodic penalty payments

Upprätta lämpliga dokument och avtal

GDPR kräver att företag måste kunna visa att företaget följer GDPR i praktiken. Detta innebär bland annat att företaget behöver ha lämpliga GDPR-relaterade avtal och dokument. Till exempel skriftliga interna rutiner för hur medarbetare ska agera vid en eventuell personuppgiftsincident. Dessutom måste företaget ingå skriftliga personuppgiftsbiträdesavtal vid anlitandet av personuppgiftsbiträden. Företag kan även behöva dokumentera konsekvensbedömningar inför vissa typer av behandlingar etc. Vilka dokument och avtal som företag behöver ha beror på flera faktorer, såsom vilka behandlingar företaget utför, omfattningen av behandlingarna m.m.

Utse roller och utbilda personal

Personalen hanterar personuppgifter inom verksamheten och behöver därför känna till hur de ska göra det i enlighet med GDPR. Dock är det alltid organisationen i sig som bär personuppgiftsansvaret, inte personalen. Dessutom kan det vara lämpligt att utse roller inom företaget. Om det är ett stort företag med många avdelningar, kan det till exempel vara bra att utse några dataskyddsambassadörer. Vissa företag måste också utse ett dataskyddsombud.

Steg 3: Behandlingen av personuppgifterna upphör

Företag får inte behandla personuppgifter i all evighet. Huvudregeln är att företag ska radera alternativt anonymisera personuppgifterna, när de inte längre är nödvändiga att behandla för syftet som de blev inhämtade för. 

Undantag från huvudregeln som tillåtet längre lagringstid

Det finns dock undantag från huvudregeln, som tillåter längre lagringstid av personuppgifter. I vissa fall kan det nämligen finnas krav på att företag att fortsätta behandla personuppgifter under en viss tid enligt lagstiftning, även fast de inte behöver personuppgifterna till något annat. Exempelvis att företag måste lagra faktureringsuppgifter och kvitton under en viss tid. Det är tillåtet och den rättsliga grunden för behandlingen är vid sådana fall rättslig förpliktelse. 

Exempel på fler situationer då personuppgifter ska bli raderade

Registrerades begäran om radering av personuppgifter: En rättighet som registrerade har är att få sina personuppgifter raderas vid begäran (även kallat för “rätten att bli bortglömd”). Raderingen ska ske utan onödigt dröjsmål, men senast inom en månad. Däremot finns det undantag från denna rättighet:

    • Till exempel kan det vara tillåtet för företaget att fortsätta behandlingen av personuppgifterna, även fast de får in en begäran om radering, om behandlingen sker för att uppfylla en rättslig förpliktelse som åligger företaget. 
    • Undantag gäller även ifall företaget behöver behandla personuppgifterna för att kunna försvara eller fastställa rättsliga anspråk.  

Företag bör skapa interna rutiner för medarbetare om radering av personuppgifter

För att företaget ska kunna säkerställa korrekt radering av personuppgifter när de inte längre är nödvändiga eller vid en begäran om radering, är det bra att skapa skriftliga interna rutiner. 

Företaget måste nämligen informera sina medarbetare om hur de ska utföra raderingen på korrekt sätt. Till exempel kan det ske genom att sammanställa informationen i skriftliga interna rutiner. Dessutom är det bra om rutinen innehåller information om exempelvis specifika datum varje år avseende tidpunkten för när alla medarbetare ska radera personuppgifter från olika lagringsplatser.

Lär dig mer om GDPR

Personuppgifter kan ha subjektiva eller objektiv karaktär

När en person tänker på vad en personuppgift är, brukar de oftast tänka på objektiva personuppgifter. Exempelvis ett namn, personnummer eller telefonnummer. Med andra ord är personuppgifter med objektiv karaktär oftast sådant som går att identifiera en person genom. Men det är viktigt att även känna till att det finns personuppgifter som är av subjektiv karaktär. 

Vill du lära dig mer?

Klicka här
Rulla till toppen