Hoppa till innehåll på sidan

Hur företag ska hantera personuppgifter

I dataskyddsförordningen finns regler som alla företag behöver känna till för att säkerställa att de behandlar sina personuppgifter på ett korrekt sätt.

Dataskyddsförordningen gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter. Syftet är också att främja konkurrens och göra det enklare för företag att expandera och verka i flera EU-länder. Ett svenskt företag som följer dataskyddsförordningen behöver inte oroa sig för att förordningen tillämpas annorlunda i något annat EU-land. 

Är ert företag medvetet om dataskyddsförordningen?

Försäkra er om att beslutsfattare och nyckelpersoner på ert företag är medvetna om dataskyddsförordningen. Undersök hur er organisation påverkas och identifiera de områden som ni måste arbeta särskilt med.

Vilka personuppgifter hanterar ni?

Inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Ni kan behöva göra en bred översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av er organisation.

Dataskyddsförordningen innehåller rättigheter som anpassats till informationssamhället. Om ni till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, behöver ni informera mottagaren om detta så att denne i sin tur kan rätta sina egna register. Ni kommer inte att kunna uppfylla detta krav om ni inte vet vilka uppgifter som ni hanterar, varifrån de samlades in och till vem uppgifterna har lämnats ut. Om ni dokumenterar detta kan det hjälpa er att uppfylla dataskyddsförordningens krav på att ni måste kunna visa att förordningens bestämmelser följs. Andra sätt att uppfylla detta krav är att införa en effektiv policy för dataskydd och tydliga rutiner vid hanteringen av personuppgifter.

Vilken information lämnar ni?

Granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra.

Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat måste ni informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till Integritetsskyddsmyndigheten om man anser att ens personuppgifter har hanterats felaktigt av er. Tänk på att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.

Hur ska ni tillmötesgå de registrerades rättigheter?

Se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format.

De viktigaste rättigheterna för de registrerade är att:

  • få tillgång till sina personuppgifter
  • få felaktiga personuppgifter rättade
  • få sina personuppgifter raderade
  • invända mot att personuppgifterna används för direktmarknadsföring
  • invända mot att personuppgifterna används för automatiserat
  • beslutsfattande och profilering
  • flytta personuppgifterna (dataportabilitet)

Dataskyddsförordningen innehåller en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter som behandlas om dem. Detta ska göras kostnadsfritt. När ni hanterar en sådan begäran kommer ni dessutom att behöva lämna viss ytterligare information, som exempelvis hur länge personuppgifterna kommer att lagras och att man har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt.

I dataskyddsförordningen finns rätten till dataportabilitet. Denna rättighet gör det lättare att flytta sina personuppgifter från ett företag eller leverantör till en annan, till exempel om man vill byta socialt nätverk eller teleoperatör. För ert företag innebär detta att ni i många fall måste kunna tillhandahålla uppgifterna i ett allmänt använt och maskinläsbart format. Tänk på att det är viktigt att säkerställa att en sådan begäran verkligen kommer från den registrerade och undersök därför vilka tekniska lösningar ni kan behöva för detta.

Med vilket rättsligt stöd behandlar ni personuppgifter?

Undersök vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Dokumentera era slutsatser.

Många företag har inte tydligt pekat ut med vilket rättsligt stöd de behandlar personuppgifter. Det är inte ovanligt att man anser sig ha flera alternativa grunder för sin behandling. I dataskyddsförordningen finns krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns till exempel större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning.

Rättslig grund enligt dataskyddsförordningen

Exempel på rättsliga grunder

Några exempel på rättsliga grunder som kan användas då personuppgifter hanteras i företag:

  • Lönesystem: avtal och rättslig förpliktelse
  • Kundregister: avtal (för vissa uppgifter krävs samtycke)
  • Webbplats: samtycke eller intresseavvägning

Hur inhämtar ni samtycke?

Undersök på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.

Ett giltigt samtycke enligt dataskyddsförordningen måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om ni stödjer er på samtycke för att behandla personuppgifter behöver ni försäkra er om att kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste ni antingen förändra era rutiner eller finna en annan rättslig grund för behandlingen.

Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ni bör fundera över hur ni i efterhand ska kunna visa att ett giltigt samtycke har lämnats.

Behandlar ni personuppgifter om barn?

Fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online.

Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Om man erbjuder onlinetjänster till barn och då hämtar in personuppgifter med stöd av samtycke, krävs det att samtycket hämtas in från barnets vårdnadshavare om barnet är under 13 år. Detta gäller insamling av uppgifter om barn som bor i Sverige. I andra EU-länder kan vårdnadshavarens samtycke krävas ända upp tills barnet är 16 år. Vårdnadshavares samtycke krävs dock inte för sådana onlinetjänster som erbjuder hjälp och stöd direkt riktat till barn och ungdomar.

Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning.

Behandling av barns personuppgifter

Vad ska ni göra vid personuppgiftsincidenter?

Se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter.

Dataskyddsförordningen innehåller nya bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till Integritetsskyddsmyndigheten.

Personuppgiftsincidenter

Vilka särskilda integritetsrisker finns med er behandling?

Fundera på om er personuppgiftsbehandling är förenad med särskilda risker för enskildas fri- och rättigheter och om ni i så fall måste göra en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen.

Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker för enskilda. Om er organisation avser att utföra en riskfylld personuppgiftsbehandling måste ni först göra en noggrann analys av vilka konsekvenser behandlingen kan få för enskilda. Sådan riskfylld behandling kan till exempel vara storskaliga register som innehåller känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats. Om er analys visar att risken är hög, måste ni samråda med Integritetsskyddsmyndigheten innan behandlingen får påbörjas.

Konsekvensbedömningar och förhandssamråd

Har ni byggt in skydd för personuppgifter i era it-system?

Ta hänsyn till dataskyddsförordningens regler när ni tar fram nya it-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader.

Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.

Genom att ta hänsyn till dessa principer när man utvecklar nya eller ändrar befintliga it-system blir det enklare för organisationer att uppfylla reglerna i förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen.

Inbyggt dataskydd

Behöver ni utse ett dataskyddsombud?

Dataskyddsförordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Det gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter.

Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt.

Dataskyddsombud

Har ni verksamhet i flera länder?

Om ert företag bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.

Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om ni har verksamhet i flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar som ni utför. Förordningens regler kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sin centrala förvaltning eller var beslut om personuppgiftsbehandling fattas. I organisationer med traditionella upplägg, där alla viktiga beslut fattas på huvudkontoret, skapar detta normalt inga större problem. Det kan dock bli svårare att avgöra i organisationer med spridda ansvarsområden, där beslut om personuppgiftsbehandlingen ofta fattas på olika ställen. I sådana fall kan olika behandlingar falla under olika tillsynsmyndigheters behörighet.

Det kan alltså vara nödvändigt att kartlägga var i er organisation de viktigaste och mest betydelsefulla besluten om personuppgiftsbehandling fattas.

 

Checklista

Gå igenom stegen för att se om ni lever ni upp till de grundläggande principerna.
  • 1

    Bestäm ändamålet

    Varför ska ni behandla personuppgifter? Vad är ert syfte?

  • 2

    Hitta en rättslig grund

    Vilken rättslig grund i dataskyddsförordningen stödjer ni er på när ni behandlar personuppgifter?

  • 3

    Informera de registrerade

    Är informationen lätt att hitta och är den lätt att förstå för de registrerade?

  • 4

    Ha rätt uppgifter

    Behandlar ni bara de personuppgifter som ni behöver för ändamålet? Har ni för mycket personuppgifter?

  • 5

    Skydda personuppgifterna

    Har ni vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder? Har ni gjort en risk- och sårbarhetsanalys?

  • 6

    Radera uppgifter

    Har ni rutiner för att radera personuppgifter när de inte längre behövs för ändamålet?

  • 7

    Visa att ni gör rätt

    Har ni dokumenterat er personuppgiftsbehandling, inklusive beslut och överväganden? Har ni skapat interna riktlinjer för dataskydd och hantering av personuppgifter?

Senast uppdaterad: 06 september 2021
Sidans etiketter Dataskydd