GDPR - Frågor & svar

GDPR - Frågor & svar

Vad innebär personuppgiftsbiträdesavtal? 

En personuppgiftsansvarig som anlitar annan (personuppgiftsbiträde) för att behandla personuppgifter för den personuppgiftsansvariges räkning behöver upprätta ett personuppgiftsbiträdesavtal. GDPR ställer krav på att det finns ett skriftligt personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. 

Ett personuppgiftsbiträdesavtal skall uppfylla vissa definierade lagkrav och är en av komponenterna som företag och myndigheter behöver se över för att säkerställa att man uppfyller kraven enligt GDPR. Avtalet ska bland annat specificera varför och hur länge personuppgifterna behandlas. 

För mer information se www.datainspektionen.se

Hur raderar jag alla personuppgifter på en person i Hogias program?

Enligt det nya regelverket för behandling av personuppgifter finns krav på att du som registerhållare, vid önskemål från en person (exempelvis en anställd, kund eller leverantör), ska kunna radera personens alla uppgifter ur ditt program, om de inte längre är nödvändiga för att fullfölja förpliktelser enligt avtal.

Hogia arbetar idag aktivt för att säkerställa att våra produkter som finns ute på marknaden följer kraven som GDPR ställer på våra kunder. Det är våra kunder som enligt lagen är ansvariga att kunna påvisa att hanteringen av personuppgifter följer lagen och det är Hogias uppgift att anpassa systemen baserat på privacy by design för att underlätta för våra kunder. Ett av dessa krav är att Hogia säkerställer att rensning i databaserna är möjlig. 

 

Vad är en samtyckesblankett och hur får jag tag på en sådan? 

Det nya regelverket för behandling av personuppgifter innebär utökade krav vid hantering av personuppgifter. 

Du som registerhållare kan behöva en samtyckesblankett där varje enskild person skriftligt ger sitt samtycke för lagring av personuppgifter. För tydlighets skull noteras att samtycke är en av flera rättsliga grunder för behandling av personuppgifter. 

Hogia har valt att inte tillhandahålla dessa. På www.datainspektionen.se finns mer vägledning. 

 

Hur får jag fram vilka uppgifter som finns lagrade i programmet? 

Enligt det nya regelverket för behandling av personuppgifter finns krav på att du som registerhållare vid önskemål från anställd ska kunna visa vilka uppgifter som finns lagrade på personen i ditt program. 

Nedan listas förslag på rapporter du kan använda i några av våra programvaror: 

  • Hogia Lön - Mina rapporter, personkort, uppgifter i historiken/lönespecifikationer

  • HogiaLön Plus - Egna rapporter, Personkort, uppgifter i historiken/lönespecifikationer

  • Hogia Personal - Lön/Förmån, Person/Anst/Förmån/PA+/LAS

  • Hogia Lönn - Rapporter, egne, ansattlister 

För information om hur varje rapport fungerar, gå till respektive program på Kundtorget och sök efter information. 

 

Är personuppgifter/information som skickas via e-post i programmet krypterade? 

I dag finns ingen inbyggd funktion för att kryptera uppgifter när du skriver ut rapporter eller skickar e-post. Detta ställer krav på dig som registerhållare, att du behandlar alla personuppgifter med försiktighet och hög säkerhet. 

Hogia arbetar med att tillmötesgå kraven enligt GDPR på bästa sätt. Mer information kommer om vilka programförändringar som behöver genomföras. 

 

Definition av personuppgiftsansvarig respektive personuppgiftsbiträde 

Personuppgiftsansvarig är den juridiska (eller fysiska om det rör sig om en enskild firma) person som bestämmer ändamålet och medlen för behandlingen av personuppgifter, alltså den som beslutar att uppgifter ska samlas in och på vilket sätt de ska användas. Det är själva aktiebolaget som är ansvarig, inte VD som många tror. 

Ett personuppgiftsbiträde är en annan juridisk (eller fysisk, se stycket ovan) person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det kan till exempel röra sig om att en leverantör av IT-system även erbjuder IT-support där supportpersonalen kan gå in i kundens system och i samband med det får tillgång till kundens personuppgifter som ligger inlagda i systemet. IT-leverantören blir då personuppgiftsbiträde till kunden som är personuppgiftsansvarig. 

Mellan dessa parter, ansvarig och biträde, måste ett biträdesavtal upprättas för att reglera på vilket sätt biträdet ska/får behandla den ansvariges personuppgifter. 

 

På vilka grunder får jag behandla personuppgifter?

För att få behandla personuppgifter måste man ha en laglig grund. Den vanligaste, eller i vilket fall den grund de flesta tänker på, är samtycke. Det är viktigt att komma ihåg att det finns fler grunder, och de flesta väger tyngre än samtycket som lätt kan återkallas, vilket innebär att den lagliga grunden plötsligt försvinner och behandlingen måste upphöra. För djupare förståelse och genomgång av vilka lagliga grunder ni har för er behandling rekommenderas att ni tar hjälp av en jurist för en korrekt bedömning. 

Utöver samtycke finns följande grunder för behandling av personuppgifter: 

Avtal   
När behandlingen är nödvändig för att kunna fullgöra ett avtal i vilket den registrerade är part. Typexempel: en konsument köper en vara på avbetalning med hemleverans. För att kunna fullfölja avtalet måste kundens personuppgifter behandlas både avseende hantering av fakturering, eventuell kreditkontroll och för hemleveransen. Dessa behandlingar är alltså tillåtna med hänvisning till kundavtalet. 

Rättslig förpliktelse   
När behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Detta avser bland annat det lagliga kravet att arbetsgivare ska lämna ut inkomstuppgifter till Skatteverket. Det är ett lagstadgat krav vilket ger arbetsgivaren rätt att behandla personuppgifterna på det sättet. 

Intresseavvägning   
När behandlingen är nödvändig för den personuppgiftsansvariges berättigade intressen, om inte den registrerades intresse väger tyngre. Ett vanligt exempel här är marknadsföring och direktreklam. Typiskt sett anses ett företags intresse att marknadsföra sig väga tyngre än mottagarens intresse i att inte behöva läsa reklamutskick. 

Utföra uppgift av allmänt intresse eller myndighetsutövning 
Till den här kategorin hör exempelvis hälso- och sjukvård som behandlar personuppgifter med denna punkt som laglig grund. 

Skydda intressen av grundläggande betydelse 
Denna grund gäller för behandling som är nödvändig i stunden och då den registrerade inte själv kan lämna samtycke, t.ex. om vissa hälsouppgifter måste lämnas ut vid nödsituationer. 

 

Vad är ett dataskyddsombud och vilka företag måste utse ett sådant ombud? 

Ett dataskyddsombud ska, utöver att agera kontaktperson för de registrerade och datainspektionen, informera och ge råd kring dataskyddsbestämmelserna, övervaka efterlevnaden av förordningen internt och utbilda personal som deltar i behandlingen av personuppgifter. Dataskyddsombudet ska i sin roll som ombud rapportera till högsta ledningsnivå. 

Myndigheter/offentliga organ samt de företag vars kärnverksamhet består av behandling av känsliga personuppgifter i stor omfattning eller behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning måste utse ett dataskyddsombud, för övriga är det valfritt. 

Dataskyddsombudet kan vara antingen en intern eller en extern resurs. 

 

Vad innebär överföring till tredje land och vad gäller då? 

När man pratar om överföring till tredje land så menar man att personuppgifter på ett eller annat sätt tillgängliggörs för ett biträde eller annan ansvarig i ett land utanför EU/EES. Även här kan man ta IT-supporten som exempel. Om ett bolag anlitar ett biträde, en extern IT-support, i Indien, och supportmedarbetarna kommer åt att läsa/redigera eller på annat sätt behandla personuppgifter i den ansvariges system anses dessa uppgifter ha blivit överförda till tredje land. Ett annat exempel är en global koncern som skickar uppgifter mellan de olika bolagen i olika delar av världen. 

För att en sådan överföring ska få ske krävs att minst ett av följande villkor är uppfylla: 

EU-kommissionen har beslutat om adekvat skyddsnivå 
Detta villkor innebär att kommissionen anser att det land eller territorium dit uppgifterna överförs har en tillräckligt hög skyddsnivå som säkerställer skyddet för uppgifterna och även de registrerades möjligheter att utöva sina rättigheter i det tredje landet. När bedömningen har gjorts av kommissionen upprättas en lista med länder som för tillfället uppfyller alla krav. 

Överföringen omfattas av lämpliga skyddsåtgärder 
En överföring kan i vissa fall godkännas om den omfattas av särskilda avtalsklausuler, en godkänd uppförandekod eller till exempel standardiserade dataskyddsbestämmelser antagna av eller godkända av EU-kommissionen. 

Bindande företagsbestämmelser 
Detta kan typiskt sett användas av en internationell koncern som behöver överföra uppgifter mellan de olika bolagen. Bestämmelserna ska uppfylla en mängd villkor, bland annat ska de innehålla uttryckliga bestämmelser om de registrerades lagstadgade rättigheter. 

Undantag i särskilda situationer 
Om ingen av de ovan uppräknade villkoren är uppfyllda kan en överföring till tredje land trots allt vara tillåten. Som exempel kan nämnas att den registrerade har gett sitt samtycke. Kraven på samtycket utökas dock ytterligare när det handlar om denna typ av överföring. 

 

Jag använder missbruksregeln idag, kommer den fortsätta att gälla? 

Den så kallade missbruksregeln, eller undantaget för ostrukturerat material, kommer inte längre att gälla när GDPR börjar tillämpas. Det innebär att även löpande text och e-postmeddelanden omfattas av de nya reglerna. 

Vad innebär ett Artikel 30-register? 

Artikel 30 i GDPR ställer i normalfallet krav på att personuppgiftsansvariga upprättar ett register över sina personuppgiftsbehandlingar. Motsvarande krav på att föra register finns även för personuppgiftsbiträden. 

 

Vi har flera samtycken insamlade sedan tidigare, måste vi samla in nya samtycken när GDPR börjar tillämpas? 

Samtliga samtycken måste uppfylla kraven i GDPR. Det innebär att om man har tidigare insamlade samtycken måste dessa kontrolleras: hur samlades de in? Lämnades korrekt information? Och så vidare. Om de inte lever upp till kraven måste nya samtycken inhämtas. 

 

Vilka rättigheter har de registrerade? 

De registrerade har flertalet rättigheter som de kan utöva gentemot den som behandlar personuppgifterna. Utöver rätten till information om bland annat vilken behandling som pågår har en registrerad rätt till följande: 

  • Registerutdrag över vilka personuppgifter som behandlas 

  • Rättelse av felaktiga uppgifter och radering av uppgifter (i vissa fall)

  • Begära begränsad behandling

  • Dataportabilitet, det vill säga rätt att få sina uppgifter överförda till antingen sig själv eller direkt till en ny personuppgiftsansvarig (till exempel annan leverantör av liknande tjänst) om det är tekniskt möjligt 

  • Att invända mot viss behandling eller automatiserat beslutsfattande (inbegripet profilering) 

Det är viktigt för personuppgiftsansvariga att försäkra sig om att de rättigheter som kan bli aktuella för den behandling som görs kan bemötas och levas upp till. 

 

Vad innebär en konsekvensbedömning och när måste jag göra en sådan? 

En DPIA är en konsekvensbedömning, alltså en bedömning av den inverkan viss behandling av personuppgifter kan ha på den registrerades fri- och rättigheter. GDPR föreskriver att personuppgiftsansvarige före viss behandling ska vidta åtgärder som ska syfta till att bidra till ett förbättrat personuppgiftsskydd. Införandet av DPIA – alltså en konsekvensbedömning – anses vara en effektiv mekanism för att försäkra sig om att personuppgiftsskyddet upprätthålls. 

Generellt är det behandlingar som använder ny teknik eller är ny till sitt sätt och därför inte omfattats av en tidigare konsekvensbedömning, behandling som kan påverka ett stort antal individer och som sannolikt kan komma att innebära en hög risk för den registrerades fri- och rättigheter (exempelvis när det är känsliga uppgifter som behandlas såsom etniskt ursprung, sexuell läggning, brottsliga lagöverträdelser och så vidare), om behandlingen gör det svårare för de registrerade att ta till vara på sina rättigheter enligt GDPR eller om den systematiskt genomförs i stor skala som ska omfattas av en DPIA. 

 

Får ett biträde anlita ett underbiträde? 

Ett underbiträde får inte anlitas utan den personuppgiftsansvariges uttryckliga tillstånd. Tillståndet kan gälla antingen ett specifikt underbiträde eller vara allmänt, vilket innebär att biträdet måste informera den ansvarige innan nytt underbiträde anlitas för att ge den ansvarige möjlighet att göra invändningar mot en