Privacy policy

Från och med den 25 maj 2018 ersätter den nya dataskyddsförordningen (DSF), General Data Protection Regulation (GDPR), den nuvarande personuppgiftslagen (PuL). Förändringen innebär en omfattande reform av dataskyddet som träder i kraft i Europa

Vad menas med personuppgifter?

För att kunna tolka och följa dataskyddsförordningen (DSF), är det viktigt att vi vet vad som menas med personuppgifter. Kanske behandlar vi personlig information i större utsträckning än vi tror.

 

Visste du till exempel att enligt de nya reglerna anses biometri (såsom fingeravtryck, iris och röst) vara en känslig personuppgift.

 

Lägg några minuter på att lära dig vad som klassas som en personuppgift och vad som egentligen menas med behandling av personuppgifter.

 

Personuppgifter - definition

Personuppgifter är information som direkt eller indirekt kan kopplas till en enskild individ.

 

Direkta identifieringstecken kan vara till exempel namn, bostadsadress, e-post och personnummer.

 

IP-adresser, kön och ålder är exempel på möjliga indirekta identifierare.

 

Känsliga personuppgifter

Vissa personuppgifter, såsom hälsoinformation och politiska åsikter, kräver särskilt skydd eftersom de klassas som känsliga personuppgifter. För behandling av sådana uppgifter gäller strängare regler eftersom följderna vid stöld och förlust kan bli stora.

 

Följande personuppgifter klassas som känsliga

• Ras

• Etniskt ursprung

• Politiska åsikter

• Religiös- eller filosofisk övertygelse

• Medlemskap i fackförening

• Genetiska uppgifter

• Biometriska uppgifter

• Hälsa

• Sexualliv och sexuell läggning

 

Vad menas med behandling?

Behandling definieras som: "en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej". 

Detta inkluderar:

Personuppgiftsbehandling är alltså i princip allt vi gör med våra personuppgifter.

 

Vad lagen säger

Med god dokumentation kan vi spåra vem som har gjort vad och när med olika personuppgifter. Det är naturligtvis värdefullt om Datainspektionen genomför en kontroll.

 

Alla verksamheter som samlar in eller använder personuppgifter ska enligt lag ha en korrekt och fullständig förteckning som bland annat klargör:

Det är därför viktigt att vi alla enbart använder de system, lösningar och tjänster som är avsedda att användas vid behandling av personuppgifter samt att vi givetvis följer de instruktioner och rutiner som gäller.

 

 

Viktigt med syfte

Bakom varje behandling av personuppgifter ska det finnas ett tydliggjort lagligt specifikt syfte och ändamål som måste vara beslutat och dokumenterat av personuppgiftsansvarig.

 

Allt eftersom verksamheter utvecklas så är det lätt att hitta nya ändamål för redan insamlade personuppgifter, men - detta är inte tillåtet!

Att behandla personuppgifter utanför beslutat ändamål kan vara straffbart och ge höga böter.

 

Vi har också ett ansvar att säkerställa vår personuppgiftsbehandling bland annat genom att:

 

En liten ordlista

Som avslutning på denna första lektion tar vi upp några begrepp som kan vara bra att känna till.

 

Personuppgifter

Alla uppgifter som på något sätt kan hänföras till en levande person till exempel namn, foto, skostorlek, registreringsnummer, fastighetsbeteckning och IP-adress.

 

Behandling     

Allt man kan göra med en personuppgift, till exempel skriva ner  den, förstöra, lagra, kopiera och fotografera.

 

Personuppgiftsansvarig

Den som bestämmer ändamålet med personuppgiften i Stadens fall nämnd eller styrelse.

 

Personuppgiftsbiträde

Den som hanterar personuppgifter på den ansvariges vägnar såsom intraservice, Microsoft och Google

 

Personuppgiftsbiträdesavtal

Obligatoriskt avtal mellan ovan nämnda biträde och personuppgiftsansvarig

Vilka roller/funktioner är involverade i personuppgiftsbehandlingen?

Vid behandling av personuppgifter är ett flertal roller och funktioner engagerade. Lägg några minuter på att lära dig mer om dem, samt vilket ansvar var och en av dem har.

 

Datainspektionen

Verksamheter och företag i Sverige samråder och anmäler till Datainspektionen.

 

Denna myndighet:

 

Registrerade personer

När vi hanterar personuppgifter så är det uppgifter om de "registrerade" vi hanterar.

 

Beroende på sammanhanget kan det till exempel handla om brukare, kunder eller anställda.

 

Om deras personuppgifter inte skyddas eller hanteras korrekt, har de rätt att göra olika anspråk och slutligen vidta rättsliga åtgärder mot den som är personuppgiftsansvarig.

 

Personuppgiftsansvarig

Personuppgiftsansvarig avgör syftet med behandlingen, hur hanteringen ska gå till samt har ansvar för att risker analyseras. Personuppgiftsansvarig är ytterst ansvarig för att säkerställa behandlingen i verksamheten samt skydda registrerades rättigheter.

 

Personuppgiftsansvarig kan överlåta behandlingen till tredje part, personuppgiftsbiträdet, med instruktioner kring vilka uppgifter som ska behandlas och hur det ska gå till.

 

 

Personuppgiftsbiträde

Personuppgiftsansvarig kan anlita ett personuppgiftsbiträde som hanterar personuppgifter för den ansvariges räkning.

 

Personuppgiftsbiträdet garanterar, i en överenskommelse, att de följer lagen och personuppgiftsansvariges instruktioner.

 

Personuppgiftsbiträdets ansvar omfattar bland annat att:

 

Dataskyddsombud

Dataskyddsombudet är en oberoende funktion som ska bistå  personuppgiftsansvariga och personuppgiftsbiträden i att övervaka att behandlingarna följer dataskyddsförordningen.

 

Dataskyddsombudet ska delta i frågor som rör skyddet av personuppgifter.

 

Uppdraget innebär bland annat 

Det är dock den personuppgiftsansvarige som har ansvaret för att krav enligt dataskyddsförordningen är uppfyllda.

 

Tydlig information inom föreskriven tid

Tänk att det är dina personuppgifter som ska behandlas.

 

Då vill du förmodligen veta varifrån uppgifterna kommer att hämtas, vad de ska användas till och vilka som kommer att få tillgång till dem?

 

Öppenhet är en bra grund för all personuppgiftsbehandling och varje verksamhet måste ta sitt ansvar.

 

Läs mer om hur vi kan följa reglerna och informera de registrerade på ett korrekt sätt.

 

Tydlig information

Har du någon gång registrerat dig för en tjänst på nätet?

Innebär tjänsten att någon personuppgift kommer att hanteras, du kanske klickar i en ruta för samtycke?

 

I så fall ställer det krav på att den som levererar tjänsten informerar dig om vad personuppgiftsbehandlingen innebär och vilka rättigheter du har. Du har också rätt att få ut information när du ber om det eller när omständigheterna förändras.

 

Och informationen ska vara klar, tydlig och lättförståelig!

 

Vad ska informationen innehålla?

De registrerade ska som minimum alltid få information om följande för respektive aktuell personuppgiftsbehandling.

 

 

Om något går fel som sannolikt kränker eller kan skada de registrerade, ska de registrerade få information om detta snarast.

 

Hantera begäran

Om en registrerad begär att få utöva sina rättigheter ska svar ges snarast möjligt. Huvudregeln är inom 1 månad, men i särskilda fall har man 2 månader på sig.

 

I svaret beskrivs vad som gjorts för att uppfylla begäran. Om begäran inte kan uppfyllas ska svaret innehålla en beskrivning vad som gjorts för att försöka uppfylla begäran samt information om den registrerades rätt att klaga hos Datainspektionen eller ta fallet till domstol.

 

Anmäla personuppgiftsincidenter - när något händer

Med den nya dataskyddsförordningen är reglerna för att anmäla incidenter (såsom fel och störningar) strängare och mer specifika än innan.

 

Fungerar inte förfarandet kan det få konsekvenser för verksamheten i form av böter.

 

Vi kommer behöva vara snabba och anmäla oftare. Vad innebär detta?

 

Vad är en personuppgiftsincident?

En personuppgiftsincident avser vanligen att personuppgifter förloras, felaktigt ändras eller avslöjas för obehöriga.

 

Vanliga anledningar till incidenter:

 

Regler för anmälan

Huvudregeln är att personuppgiftsincidenter ska anmälas till Datainspektionen snarast, dock senast inom 72 timmar.

 

Anmälan ska innehålla:

Beroende på omständigheter kan även de registrerade behöva informeras.

 

Det är den personuppgiftsansvarige som ska säkerställa att incidenter hanteras korrekt i verksamheten.

 

Vad innebär detta för mig?

Om du hanterar personuppgifter måste du ha koll på:

Top