Dataskydd: Vad innebär GDPR för företag

GDPR är en förordning från EU som reglerar hur företag får behandla och samla in persondata.

General Data Protection Regulation, GDPR, publicerades först 2016 och trädde i kraft 2018. Den reglerar hur företag får behandla och samla in persondata, förordningen gäller i hela EU. Medlemsländerna har minimikrav som de måste följa och kan välja att vara mer strikt om de vill. Alla medlemsländer har en egen dataskyddsmyndighet, i Sverige är det Integritetsskyddsmyndigheten (IMY).

I GDPR definieras persondata som information som kan användas för att identifiera en person.

Telefonnummer, för och efternamn, epostaddress eller adresser är exempel på persondata. En jobbmejl kan anses vara persondata beroende på om den kan användas för att identifiera personen.

Vad är känslig persondata?

Data som kan vara extra känslig för en person om den kommer ut benämns som känslig persondata. Informationen är i regel förbjudet att behandla men undantag finns.

Några exempel på känslig persondata:
• etniskt ursprung,
• politiska åsikter,
• hälsa,
• en persons sexualliv eller sexuella läggning,
• biometriska persondata.

Annan persondata som behöver skyddas extra är exempelvis uppgifter om lön och brottsregister. IMY har en längre lista på känslig persondata här.

Anonymisering och pseudonymisering

Anonymisering innebär att personuppgifterna tas bort helt. pseudonymisering innebär att personuppgifterna byts ut mot något annat exempelvis en siffra.

Exempel scenario:
Klara Jonsson har köpt 4 par skor.

Pseudonymisering:
Kund 435 har köpt 4 par skor.

Anonymisering:
Någon har köpt 4 par skor.

Huvudregeln är att anonymisering ska användas, görs detta korrekt behandlas nämligen inte personuppgifter.

Pseudonymisering är fortfarande klassat som persondata men det är en säkerhetsåtgärd som ger ett extra skydd, vid det fall att ni inte kan anonymisera ska ni pseudonymisera. Pseudonymisering bör användas när det inte är möjligt att anonymisera.

Företag ska inte behandla eller samla in persondata i onödan och måste ha en rättsliggrund när det ska göras. Utöver det behövs en integritetspolicy, också kallat privacy policy eller personuppgiftspolicy. Den reglerar hur persondata som samlats in får hanteras av företaget och dess anställda. I företaget måste det även finnas ett personuppgiftsregister och rutiner för hur persondata lagras, detta för att företaget ska kunna lämna ut och ta bort persondata om berörd person ber om det.

Därutöver måste företag jobba med uppgiftsminimering, det innebär att företagen inte ska behandla inte mer persondata än vad som är nödvändigt och att persondatan inte behålls absolut behövs och behåll den inte längre än vad som absolut behövs.

När behövs PuB-avtal

I fall persondata delas med andra företag, exempelvis en redovisningsbyrå, behöver det skrivas ett personuppgiftsbiträdesavtal, vanligtvis kallat ett PuB-avtal, mellan parterna.

Vad är rättslig grund enligt GDPR?

Som regel får företag inte hantera persondata, utan det måste finnas en laglig grund för detta. Nedan följer en lista på de sex rättsliga grunderna som finns för behandling av persondata.

Samtycke
Personen i fråga har godkänt att du faktiskt får behandla dennes personuppgifter.

Avtal med den registrerade
Finns det ett avtal eller ett avtal ska tecknas med personen i fråga är det också okej att behandla dennes persondata.

Rättslig förpliktelse
Finns det något lagkrav som kräver behandling av persondata, som exempelvis i bokföringssyfte, är det även då okej att behandla persondatan.

Skydda grundläggande intresse
Befinner sig personen ifråga sig i en livshotande situation och inte kan föra sin egen talan kan detta användas som grund, exempelvis vid blodtransfusion på en omedveten patient. Detta kriterium är primärt aktuell för vården.

Myndighetsutövning och uppgift av allmänt intresse
Primärt aktuellt för myndigheter, vård och skola. Kan användas exempelvis om en individ har begått ett brott och döms till straff.

Intresseavvägning
Kan användas i det fall att företagets intresse väger tyngre än individensintresse att skydda sin persondata. Exempelvis om ni har en bättre försäkring än vad individen har och vill sälja den. Vill individen inte att ni behandlar datan måste ni sluta.

Om persondata läcks måste detta rapporteras till IMY, detta ska göras inom 72 timmar av att läckaget har skett annars strider företagets agerande mot GDPR.

IMY kommer då utföra en granskning av verksamheten för att se om rätt säkerhetsåtgärder är vidtagna. Förutsätt att företaget har agerat rätt kommer granskningen läggas ner.

Om ett företag döms för ett brott mot GDPR döms de till böter på upp till 200 miljoner kr eller 4% av global omsättning, den av summorna som är högst sätts som tak.

GDPR böter i Sverige

IMY lägger upp vilka företag de granskar, resultatet av granskningen och även bötes beloppet.
Högsta böter:
5 miljoner euro till Google LLC mars 2020
4.9 miljoner euro till Spotify juni 2023
3 miljoner euro till Trygg-Hansa augusti 2023
2.9 miljoner euro till Capio St. Göran AB december 2020

I Sverige är snitt böter 7.2 miljoner kronor och median böter är 325 tkr
Detta gällde vid tidpunkten då detta skrevs, 29 augusti 2024.

En DPO, data protection offer, måste finnas i företaget om ett av kriterierna nedan uppfylls:
1. Ni är ett offentligt organ,
2. Er kärnverksammhet övervakar individer regelbundet, systematisk och i stor utsträckning eller,
3. Er kärnverksamhet behandlar känsliga personuppgifter eller information om brott.

Utöver det kan vara bra att ha en DPO om ni behandlar en stor volym persondata eftersom det lätt tappar struktur eller glöms bort om det hanteras av flera olika individer i en organisation.

Om ni beslutar att inte ha en DPO se till att det finns tydliga arbetsfördelningar och tydliga strukturer för hur persondata ska hanteras.

Är GDPR och dataskyddsförordningen samma sak?
Ja. GDPR står för General Data Protection Regulation vilket översätts till dataskyddsförordningen på svenska.

Vilka uppgifter går under GDPR?
Persondata, vilket kan definieras som all information relaterande en privatperson som kan användas för att identifiera denna. Namn, mail, personnummer och telefonnummer är några exempel.

Vad är GDPR i korthet?
EU ville att företag ska värna om individers integritet och införde GDPR som tvingar företag att ta hänsyn till individers persondata. GDPR ger privatpersoner kontroll över sin persondata. Individer har rätt att begära ut data och begära att den raderas. För att se till att företag inte slarvar sattes höga böter och nya myndigheter skapades.

Vad bryter mot GDPR?
Otillåten behandling av persondata, behandling som inte uppfyller någon laglig grund, bristfälliga rutiner, behandling i onödan eller onödigt delande av data. Dataläckage kan vara brott beroende på omständigheterna. Avsaknad av en DPO om det är ett måste bryter också mot GDPR.

Vad omfattas inte av GDPR?
All data som inte kan kopplas till persondata. Data som exempelvis körtid för en uthyrd grävare faller istället under Data Act.

Vad måste den som sparar dina personuppgifter göra enligt GDPR?
Föra register över vad som sparas, var det sparas, hur länge och i vilket syfte. Datan måste även lämnas ut eller raderas om så efterfrågas.

Hur länge får man spara data enligt GDPR?
Tyvärr finns det inte en satt tidsram utan GDPR har en princip som kallas uppgiftsminimering, vilket innebär att du får spara datan precis så länge som den är nödvändig. När datan inte längre är nödvändig, ska den raderas direkt.

Vilka personuppgifter får lämnas ut?
Till den som äger persondatan får alla uppgifter lämnas ut. Till alla andra får bara uppgifter som är absolut nödvändiga lämnas. Detta med krav på PuB avtal om det är individer utanför företaget och krav på att det finns en integritetspolicy.

Vilka måste följa GDPR?
Alla företag, organisationer och andra juridiska personer som har kunder eller användare från EU, detta inkluderar globala företag.

Vem ska anmäla Personuppgiftsincident?
Den som är personuppgiftsansvarig i företaget.

När ska man anmäla till Datainspektionen?
När en obehörig part får ta del av persondata och när persondata förloras, förstörs eller ändras

Exempel jobbdator stjäls, någon utan tillstånd ändrar persondata, mail med persondata skickas till fel person eller negativa konsekvenser för en individ uppstår för att data har raderats.

Är för- och efternamn GDPR?
Ja.

Är jobbejl personuppgift?
Kan vara david.lundberg @lundbergandassociates.com ger dig tillräcklig information för att lista ut vem jag är men info@lundbergandassociates.com säger ingenting.
Min email är dock david@lundbergandassociates.com, om du söker mig.

Får man skicka CV via mail GDPR?
Beror på vem det är som skickar och till vem. Som privatperson , ja. Som företag eller anställd, nja. Skickar du inom företaget till någon som nödvändigtvis behöver den, ja. Skickar du utanför företaget till någon som nödvändigtvis behöver den och PuB-avtal finns ja. Annars nej.

Vad säger GDPR om personnummer?
Att det är persondata som är extra skyddsvärda men inte känslig persondata.

Är kundnummer känslig personuppgift?
Nej, men förutsatt att du kan identifiera kunden genom kundnumret är det en personuppgift.