Skydda personuppgifter

Om du behandlar personuppgifter i ditt företag, till exempel om du har anställd personal eller ett kundregister, omfattas du av personuppgiftslagen (PuL). Under våren 2018 kommer PuL att ersättas av Dataskyddsförordningen som innebär ganska stora förändringar i förhållande till dagens regler.

Sidan blev senast uppdaterad:

Vad är en personuppgift?

En personuppgift är information som direkt eller indirekt avser en fysisk person som är i livet. Även foton och ljudupptagningar på människor kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, till exempel IP-nummer, räknas också som personuppgifter om de kan kopplas till fysiska personer.

Vad innebär det att hantera personuppgifter?

Du hanterar personuppgifter om du till exempel har ett kundregister, ett löneregister eller ett personalregister. Hantering av personuppgifter kan också innebära att du i andra sammanhang har hand om uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person.

Exempel på hantering av personuppgifter är insamling, registrering, lagring, bearbetning och spridning.

Till sidans topp

Personuppgiftslagen

Personuppgiftslagen finns för att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I lagen finns regler för hur personuppgifter får behandlas, till exempel att det krävs samtycke från och information till den registrerade. Det finns också regler om säkerhet och rättelse av felaktiga uppgifter. Företag, myndigheter, föreningar och andra kan utse personuppgiftsombud som självständigt kontrollerar att personuppgifter behandlas korrekt inom verksamheten.

Till sidans topp

PuL blir Dataskyddsförordningen

EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Syftet med den nya lagstiftningen är att skapa enhetliga dataskyddsregler inom hela EU, vilket underlättar för företag att verka på hela unionens inre marknad. Förordningen börjar gälla den 25 maj 2018 och kallas Dataskyddsförordningen.

En övergripande tanke med de nya reglerna är att tydligare betona att företag som aktivt behandlar personuppgifter måste ta ansvar för att se till att förordningens regler följs och kunna visa det. Du kan till exempel ta fram en särskild dataskyddspolicy i ditt företag. Dataskyddsförordningen gäller för alla som behandlar personuppgifter och Datainspektionen kan komma att påföra en sanktionsavgift för den som bryter mot förordningens regler.

Förbered dig redan nu

Datainspektionen rekommenderar att du som företagare redan nu förbereder dig för den nya förordningen, för att vara säker på att du följer förordningen när den börjar gälla den 25 maj 2018.

För att veta hur den nya förordningen kommer att påverka ditt företag och vad företaget måste göra för att uppfylla kraven enligt förordningen, bör du börja med att inventera vilka insamlingar och hanteringar av personuppgifter företaget gör idag.

Här är några frågor som du kan börja med att besvara

  • Vilka personuppgifter hanteras?
  • Hur samlas de in?
  • Vilka har tillgång till dessa?
  • Hur får företaget samtycke från berörda personer?
  • Hur används personuppgifterna (syfte)?
  • Vilken säkerhet finns det vid hanteringen av personuppgifter?
  • Får de registrerade information om registreringen?
  • Hur länge sparas personuppgifterna?

Datainspektionen har också tagit fram en checklista för hur du som hanterar och är ansvarig för personuppgifter kan förbereda dig för förordningen.

Dataskyddsinspektionens checklista för dig som är personuppgiftsansvarig

När du har fått en bild av företagets personuppgiftsbehandling kan du gå vidare med att se vilka åtgärder företaget behöver vidta i förberedelsen inför den nya förordningen. Det finns ett stort kursutbud på marknaden och många konsulter som kan hjälpa till om du vill ha stöd i arbetet.

Mycket är oförändrat

Mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen. På samma sätt som idag kan samtycke vara en grund för att behandla personuppgifter. De vars personuppgifter det gäller kommer även i fortsättningen att ha rätt att få information om den personuppgiftsbehandling du gör. Du måste vidta tillräckliga säkerhetsåtgärder för att uppgifterna ska skyddas på rätt sätt.

Det ställs särskilda krav om det är fråga om känsliga personuppgifter som uppgifter om bland annat hälsa, etniskt ursprung, politisk uppfattning och religiös tro.

Några viktiga ändringar:

  • När uppgifter behandlas med samtycke eller för att uppfylla ett avtal, har den registrerade rätt att få ut de uppgifter hen själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
     
  • I dataskyddsförordningen ställs det särskilda krav på samtycket – bland annat ska det vara frivilligt, det ska lämnas genom ett uttalande eller en entydig bekräftande handling och det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen.
     
  • Innan du planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska du göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna – det kallas konsekvensbedömning.
     
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste du anmäla det till Datainspektionen inom 72 timmar. Du kan också behöva informera de registrerade genom en anmälan om personuppgiftsincident.
     
  • Om ditt företag behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende, måste du utse en person i organisationen som har till uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
     
  • I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär att du får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.

Läs frågor och svar om den nya Dataskyddsförordningen på Datainspektionens webbplats

Till sidans topp

 

Hjälpte den här informationen dig?

Ja Nej

Tack för din återkoppling!

Berätta gärna vad du tycker om sidan. Dina synpunkter hjälper oss att förbättra verksamt.se.