Under de senaste åren har rätten att glömmas diskuterats flitigt, alltså att du ska ha rätten att be till exempel Google att ta bort vissa sökresultat som gäller dig. Detta och mer regleras i GDPR, den nya EU-gemensamma datalagstiftningen som träder i kraft den 25 maj 2018. GDPR betyder General Data Protection Regulation, och är alltså ett generellt skydd för personuppgifter som sparas.
Om du undrar vad en personuppgift är, se del 1 i denna artikelserie. Detta är andra delen av tre i en serie om GDPR.
Det som huset vilar på!
All behandling av personuppgifter måste ha en grund, det vill säga om du vill spara någons personuppgifter har du en skyldighet att försäkra dig om att du har stöd i lag för att spara uppgifterna i fråga. I lagen anges sex olika typer av stöd: samtycke, uppgifterna behövs för att fullgöra ett avtal, lagstadgad plikt, för att skydda liv, för att spara uppgifter av allmänt intresse och att du efter en intresseavvägning bedömer att du får spara uppgifterna.
Mitt råd är: glöm samtliga punkter förutom samtycke! Be alltid om samtycke! Är du osäker: be om samtycke! Är du nästan säker: be om samtycke!
Information in, information out, GDPR forever
I samband med att du inhämtar samtycke enligt ovan, måste du också lämna en del information. Bland annat, vem du är, vad du ska göra med personuppgifterna, om du har för avsikt att lämna över uppgifterna till någon tredje part, hur länge du tänker lagra uppgifterna samt att personen har rätt att få uppgifterna ändrade, borttagna, överförda, att hen har rätt att ta tillbaka givet samtycke samt att denne kan klaga till Datainspektionen om hen bedömer att du bryter mot GDPR.
Du ska även rapportera intrång och läckor, avseende personuppgifter, till Datainspektionen samt i vissa fall till personerna som har drabbats.
Glöm aldrig bort detta!
Som jag nämnde i den första delen av denna serie så är inte syftet med GDPR att lagen ska sätta stopp för alla affärer, utan att den ska bidra med struktur kring personuppgiftshantering. Lagen är omfattande och kan tyckas sträng, men fundamentalt kan man koka ner den till två principer: frihet och kommunikation. Personen vars uppgifter du sparar äger de uppgifterna och är därför i de allra flesta fall fri att säga stopp, nej, ta bort! Men för att personen ska kunna utöva sin rätt måste hen också göras medveten om exakt vad det är du gör, genom att du kommunicerar detta till personen i fråga. Detta innebär såklart att du själv först måste bli medveten om exakt hur er informationshantering hänger ihop – så gör en inventering av informationskedjan inom ert företag.
Om du tycker att detta blir för mycket, lägg ut det på entreprenad. GDPR-konsulter råder det ingen brist på, kasta en sten så träffar du två. Om du däremot inte kan få nog av GDPR kan du med fördel läsa Datainspektionens skrivelse om lämpliga förberedelser inför GDPR, här.
I nästa del tänker jag fokusera mer på hur du rent praktiskt går till väga för att komma i en situation där du har uppnått GDPR compliance! Det är dock alltid kul med konkreta frågor. Så om ni har några: kommentera eller maila så ser jag till att skriva någonting om detta i nästa del!
Se del 3, om hantering av personuppgifter, här
Robert Klackenborn
Ejder Advokatbyrå