Bakgrund GDPR

Digitaliseringen hjälper världen att utvecklas inom en mängd olika områden. Tack vare digitaliseringen använder vi idag modern teknik för att utveckla industrier, branscher och andra affärsområden för att prestera bättre. Modern teknik hjälper oss att bygga plattformar för en bättre och mer hållbar värld. Baksidan när vi använder mer av Big Data, digitala plattformar och analysverktyg är att vi tappar kontrollen på hur information om fysiska personer lagras och hanteras. Det har aldrig varit så lätt att sprida information om individer som det är idag.

För att fortsätta skydda fysiska personer skärps nu direktiven från EU. Samtliga av EU:s medlemsländer ska förhålla sig till den nya dataskyddsförordningen GDPR (General Data Protection Regulation) som tydligt begränsar hur vi får hantera personuppgifter. Idag tänkte vi göra en uppföljning på vårt tidigare inlägg om GDPR. Målet är att gå in mer på ämnet och vägleda er som kunder.

GDPR

Den 25 maj 2018 träder GDPR i kraft. Mycket av det som ingår i den nya dataskyddförordningen finns redan i den svenska lagstiftningen PUL (Personuppgiftslagen), det betyder att direktiven som tillträder i maj 2018, inte är helt nya. Förmodligen gör ni en del av det som krävs redan idag, medan ni behöver få mer rutin över andra delar. Direktivet för GDPR ligger klart hos EU men på nationell nivå är lagstiftningen ännu inte bestämd. Som vi skrev i vårt tidigare inlägg så kommer EU direktivet, i många fall, behöva anpassas efter varje nations lokala lagstiftning. Förhoppningsvis vet vi hur det kommer se ut för oss i Sverige vid årsskiftet.

I Sverige har vi egen lagstiftning, vi värnar exempelvis om vår yttrandefrihet. Yttrandefriheten är grundlagsreglerad i både tryckfrihetsförordningen och yttrandefrihetsgrundlagen därav trumfar det GDPR. För oss som arbetar med ekonomi, är det värt att veta, att också bokföringslagen står över GDPR. Det gör att hanteringen av personuppgifter inte helt baseras på EUs direktiv. Så, när är det egentligen okej att lagra och hantera personuppgifter?

När får vi lagra personuppgifter?

Det är lätt att känna sig förvirrad. EU kommer med nya direktiv men vi har fortfarande grundlagar som står över GDPR. Vad gör vi? Egentligen är det här inte så konstigt. Som vi skrev i stycket ovan så gör ni säkert mycket redan idag men har en del ni behöver ta kontroll över. Första steget är att skapa kunskap och se vilka delar som berör er. I grunden tycker vi att GDPR är bra. Det gör att varje företag måste ta ansvar och arbeta aktivt med hanteringen av personuppgifter. Så, när är det okej att lagra personuppgifter? Vi försöker bena ut.

  • Vid samtycke från personen i fråga
  • I skyddande av en persons intresse
  • Vid allmänt intresse eller myndighetsutövning
  • För att fullgöra avtal
  • Vid rättsliga förpliktelser
  • Intresseavvägningar

Om vi ser till oss själva och våra kunder som använder NAV så faller mycket under de tre sista punkterna. Vi lagrar personuppgifter för att fullgöra avtal, av rättsliga förpliktelser eller vid enskilda intresseavvägningar. Se till att ni kan motivera de personuppgifter ni lagrar. Är det rimligt att ni har de här uppgifterna? Är det verkligen viktigt för er näringsverksamhet? Och i så fall, varför är det viktigt?

Okej, men vad gör vi här och nu?

Vi anser att det är bra för företag att se över GDPR så snart som möjligt. Vi vill undvika att hamna i ett panikläge i vår då vi inser att vi inte förstår vad GDPR egentligen handlar om. Så försök att börja med följande punkter redan idag:

  • Prata internt om de nya reglerna
  • Rensa i era kontaktregister
  • Skriv en policy över vad ni lagrar om kunder och leverantörers kontaktposter
  • Fundera på hur ni arbetar med e-post/lönespecifikationer? (Lönespecifikationer anses vara känslig personlig information och bör därmed behandlas utifrån de premisserna)
  • Undvik samtycke som grund för personuppgifter
  • Tänk igenom hur ni agerar på sociala medier

Något att ta ställning till är hur ni hanterar olika dokumenttyper idag. GDPR innefattar ostrukturerat data, som exempelvis e-post och Worddokument, vilket är nytt. Se över hur ni administrerar företagets lönespecifikationer. Om ni bifogar lönespecifikationer i mail behöver ni agera på det. Lönespecifikationer anses vara känslig personlig information och kräver därav en säker lösning. För att lösa problemet finns alternativet att ladda upp privata handlingar på en portal där inloggning krävs för åtkomst av dokumenten.

Anledningen till att vi nämner ”undvik samtycke som grund för hantering av personuppgifter” är att det inte är en stark grund att stå på. Personen i fråga måste ha möjlighet att oavsett tidpunkt ta tillbaka sitt samtycke. I praktiken hade det inneburit att om en person kan välja att kryssa i Jag accepterar att ni hanterar mina personuppgifter bör personen vid valfritt tillfälle kunna kryssa i Jag vill att ni fr.o.m. nu raderar mina personuppgifter och det ska då ske vid det angivna tillfället.

Sociala medier är egentligen ett blogginlägg i sig. Kortfattat är det viktigt att se över hur ni använder era sociala medier idag. Publicera inte namn eller bilder på personer som inte gett er godkännande. Även OM en person gett dig tillåtelse att publicera innehåll, kan det bli problem om individen vid ett senare tillfälle ångrar sig. Då bär du ansvaret för att stoppa publiceringen. Det kan vara svårt om innehållet finns i många olika kanaler och du inte har kontroll på dess spridning.

NAV och GDPR

Till er som arbetar i NAV, hur berör GDPR er? Nummer ett. Rensa i era register i NAV. Se till att det bara finns aktuella affärskontakter. Förmodligen ligger det många personer i era listor som är inaktuella för er verksamhet. Gamla anställda, leverantörer, kunder, kontakter hos leverantörer och kunder. Se över era kontaktkort och personalkort. Kontrollera att den information ni har på de personliga korten är relevant för verksamheten. Se exemplet nedan, här är vi inne på ett personalkort, vad har ni under fliken Personligt? Är det relevant för er att lagra vad er medarbetare tillhör för fackförening? Kanske, kanske inte. Det är hela tiden en intresseavvägning att göra.

gdpr

Vad har ni för säkerhetsåtgärder som gör att informationen är säker i ert affärssystem. Lägg upp en policy för er datasäkerhet. Hur hindrar ni att informationen når obehöriga? Utanför er verksamhet.

Vi avslutar nog blogginlägget här. Det finns mycket att skriva om men ingen orkar läsa långa, allt för utdragna inlägg. Än en gång vill vi addera en disclaimer. Det här är ett informationsinlägg, vi är inte jurister. Men vi har en uppfattning om vad som kommer att hända och vi berörs precis som alla andra företag av GDPR. Det innebär att det säkert finns anledning även för oss att återkomma till ämnet inom en snar framtid.

Läs även vårt tidigare inlägg