Är du redo för GDPR? Del 1 av 3 – Se över rutiner för behandling av personuppgifter

Gästskribent: Katarina Ladenfors

Den 25 maj 2018 träder EU:s nya dataskyddsförordning, GDPR, i kraft och ersätter den svenska personuppgiftslagen. Det innebär stora förändringar för alla som behandlar personuppgifter - vilket i princip alla organisationer gör på ett eller annat sätt. Kundregister, e-postadresser och bilder på personer är alla exempel på vad som räknas som personuppgifter.

Det övergripande syftet med dataskyddsförordningen är att stärka enskilda personers uppgiftsskydd och öka individers kontroll över sina personuppgifter samt få en enhetlig lagstiftning inom EU.

Upprätta rutiner och se över policys och samtyckestexter

Dataskyddförordningen innebär en hel del viktiga förändringar. Enligt en särskild bestämmelse i förordningen ska den personuppgiftsansvarige dvs. företaget, myndigheten eller organisationen föra en förteckning över den behandling som man ansvarar för det måste också finnas en rättslig grund för all behandling av personuppgifter och denna måste kunna motiveras. Har ni i er organisation utnyttjat undantaget för behandling i ostrukturerat material, till exempel vid publicering av personuppgifter på en webbplats eller i annan löpande text, är det viktigt att ni undersöker vilka förutsättningar ni har för att behandla uppgifterna enligt förordningens bestämmelser.

Ni kan till exempel behöva undersöka om ni har en rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på behandlingen och att ni informerar de registrerade på ett korrekt sätt.

Huvudregel om samtycke för behandling av personuppgifter som gäller enligt nuvarande personuppgiftslag (PuL) gäller även enligt nya dataskyddsförordningen och är en av de rättsliga grunder som möjliggör personuppgiftsbehandling. För att kunna lämna samtycke måste den registrerade informeras om syftet/ändamålet med behandlingen. Av dataskyddsförordningen framgår att definitionen av samtycke från den registrerade lyder: "varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne". Detta känner vi delvis igen från nuvarande direktivet där definitionen dock är något annorlunda: "varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom." Den stora skillnaden ligger i kravet på bekräftelse från den registrerade. I sammanhanget kan även noteras att dataskyddsförordningen ställer krav på att den personuppgiftsansvarige ska kunna visa att den registrerade lämnat samtycke.

Ovan uppställda krav innebär givetvis större krav på hur samtycket utformas, hur det informeras till de registrerade samt att det dokumenteras på ett sätt som gör att det i efterhand går att visa att samtycke finns.

Beroende på hur informationen är utformad och samtyckena inhämtade kan befintliga samtycken fortfarande vara möjliga att använda även efter ikraftträdandet av dataskyddsförordningen men för att säkerställa att så är fallet bör en noggrann genomgång utföras.

Ett första steg

Som ett första steg rekommenderas att företaget gör en nulägesanalys som en översyn av vilka personuppgifter man behandlar, varifrån de kommer, vilken rättslig grund man har för behandlingen, hur länge uppgifterna har lagrats och så vidare. En sådan analys ska sedan tjäna som underlag för en åtgärdsplan för att säkerställa efterlevnaden av dataskyddsförordningen. Det rekommenderas att både teknik- och juridikavdelningen på organisationen involveras i arbetet.

Det rekommenderas att utarbeta, eller göra översyn av befintliga personuppgifts¬policys och samtyckestexter/villkor, samt att en generell översyn över vilka behov av data en organisation verkligen har.

Använder/behöver man verkligen all den data som idag är möjlig att samla in? Vilka samtycken ligger bakom personuppgifterna som behandlas? Har ändamålet med behandlingen förändrats sedan datan samlades in? Tänk på att stora mängder data också ställer stora krav på hanteringen och ansvaret för densamma. Utgå därför från behovet och ta därefter fram en policy för hur företaget ska hantera datan. En policy möjliggör ett enkelt sätt att såväl internt som externt kommunicera vilka värderingar ett företag har kring personuppgiftshantering.

Vidare blir även den information som lämnas till de registrerade viktig att se över. För närvarande ställer PuL krav på att lämna viss information såsom företagets identitet och ändamålet med behandlingen. Dataskyddförordningen ställer ytterligare krav på vilken information som ska lämnas vilket innebär att företaget kommer behöva informera om den rättsliga grunden för behandlingar, möjligheten att lämna klagomål till tillsynsmyndigheten och hur länge uppgifterna ska sparas. Därutöver ställer dataskyddsförordningen krav på att informationen ska lämnas på ett tydligt och enkelt språk och vara kortfattad och lättbegriplig, till exempel får informationen inte vara gömd i längre allmänna villkor.

Kursen "GDPR för kommunikatörer"

Sveriges Kommunikatörer och Advokatfirman MarLaw arrangerar kurser i GDPR för kommunikatörer. Kurserna ger dig en inblick i dataskyddsförordningen och ger dig verktygen att förbereda din organisation på de krav som kommer att ställas gällande insamling, hantering och dokumentation av personuppgifter. Särskild fokus ligger på kommunikationsintensiva företag.

Läs mer om kommande kurstillfällen på vår utbudssida.

Bli medlem i Sveriges största nätverk för kommunikatörer och träffa 7 400 kollegor. Du får tillgång till våra kostnadsfria event för medlemmar, rabatt på kompetensutveckling och får ta del av det senaste inom vår bransch. Du hjälper även till och stöttar svensk kommunikationsforskning.