GDPR - Den nya personuppgiftslagen.

GDPR – Vad är en personuppgift?

Det pratas mycket om personuppgifter – men vad är egentligen en personuppgift? Här förklarar vi på ett enkelt sätt vad som menas med en personuppgift. Vi tittar också på några vanliga grunder till insamlande av personuppgifter och vilken information du måste lämna till den du samlar uppgifter om.

 

Vad är en personuppgift?

 

Egentligen kan man säga att alla uppgifter som direkt eller indirekt kan kopplas till en person är en personuppgift. Normalt tänker man då på personnummer, namn och adress. Men även foton på personer klassas faktiskt som personuppgifter.

Det finns också känsliga personuppgifter...

Det talas också om känsliga personuppgifter – i GDPR skiljer man mellan dessa och vanliga personuppgifter. Om företaget behandlar känsliga personuppgifter måste det finnas övertygande skäl till registreringen och man måste kunna visa detta. Dessutom måste känsliga personuppgifter ha ett extra bra skydd så att inga obehöriga kan komma åt dem.

Känsliga personuppgifter är t ex en persons sexuella läggning, religion, politiska åsikt och etniska ursprung. Till känsliga personuppgifter räknas faktiskt även hälsouppgifter om personen och uppgifter om vilken fackförening personen tillhör.

- Vi samlar inte in några känsliga uppgifter.

När får du samla in personuppgifter?

För att få samla in personuppgifter måste du ha något som kallas rättslig grund. Det innebär att du har stöd i lagen för insamlandet. Personuppgifter som samlas in med stöd av en rättslig grund får senare inte användas för helt andra syften.

De viktigaste rättsliga grunderna som företag kan använda är:

  • Samtycke

    Företaget måste lämna tydlig information om vilka uppgifter som samlas in och vad de ska användas till när du ber en person om att få registrera uppgifter om personen. Du måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.

  • Avtal

    Det här kan vara t ex ett anställningsavtal. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet, inte fler.

  • Rättslig förpliktelse

    Detta innebär att personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse, som att t ex följa bokföringsskyldigheten som anges i bokföringslagen.

  • Vid återbetalningar och dyl behöver vi visa vem och varför vi betalat ut pengar.

  • Intresseavvägning

    Vid intresseavvägning måste företaget visa att det finns ett stort behov av att hantera uppgifterna och att det behovet väger tyngre än den enskilda personens rätt till skydd för uppgifterna. Om den registrerade invänder mot pågående behandling måste du göra en ny intresseavvägning och upphöra med behandlingen om det inte finns väldigt starka (tvingande) skäl.

  • Vid katalogutskick behöver vi hantera uppgifterna.

Kom ihåg att informera!

 

När du samlar in personuppgifter måste du informera personen som du samlar in information om. Enligt GDPR ska du tala om att du samlar in personuppgifter, vilka uppgifter det handlar om och varför du gör det.

Detta ska du informera om:

  • Vem som är ansvarig över personuppgifterna (vanligtvis ditt företag)

     

  • Varför uppgifterna samlas in och hur de ska användas

     

  • Hur länge du tänker spara uppgifterna 

     

  • Om du har angett samtycke som rättslig grund måste du informera om att personen alltid har rätt att dra tillbaka sitt samtycke

     

  • Att en person som du registrerar personuppgifter om har rätt att begära att få ut sina uppgifter för att kontrollera vad som finns registrerat

     

  • Att ditt företag är skyldigt att rätta felaktiga, ofullständiga eller missvisande uppgifter

     

Tänk på att informationen också ska vara lätt att förstå, det vill säga både tydlig och begriplig och gärna skriftlig.