Personuppgiftshantering


Vad är en personuppgift?

GDPR bygger på behandlingen av personuppgifter. Det är därför viktigt att vara införstådd med vad som utgör en personuppgift och inte. Så som en personuppgift är beskriven i GDPR är det ”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

En personuppgift kan i korthet sägas vara någon uppgift som kan leda till en identifiering. En adress, yrkestitel, IP-nummer eller liknande kan därför ses som en personuppgift. Huvudregeln borde alltid vara ”kan den här uppgiften användas för att ta reda på vem det är”. Det finns därför inga statiska eller uttömmande listor, och går inte heller, utforma helt uttömmande listor om vilka uppgifter som ska behandlas enligt GDPR eftersom dessa kan variera markant.

Exempelvis kan nämnas en situation då ett förnamn, födelsedatum och stad finns under ett företags behandling. I det fall den angivna staden skulle vara Stockholm kommun (som har en folkmängd om ca 1 500 000 personer) skulle högst sannolikt inte dessa uppgifter ses som en personuppgift emedan om staden istället haft en folkmängd om 200-300 personer skulle detta med högre sannolikhet ses som en personuppgift.

Ett annat exempel kan vara då en kontaktperson på ett företag registreras i systemet. Denna person blir sökbar med namn, kontaktuppgifter och titel vilket högst sannolikt är att anse som en personuppgift.

Hubins behandling av personuppgifter

När en behandling sker av personuppgifter ska det ske i enlighet med GDPR. En behandling är i princip all tänkbar kontakt med en personuppgift (insamling, registrering, lagring, bearbetning, spridning, osv.). Huvudregeln är därför att om bolaget på något sätt haft kontakt med personuppgifter bör det noggrant reflekteras över huruvida den hanteringen varit förenlig med GDPR. Alla personuppgifter som behandlas (på något sätt hanteras eller finns i bolagets system eller arkiv) ska framförallt genomsyras av de principer som styr GDPR. Dessa principer ska alltid beaktas vid hanteringen av personuppgifter.

  • Kundens integritet och konfidentialitet – Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Behöver alla på kontoret tillgång till uppgifterna? Ska vi begränsa mängden information från det vi begär in från kund? Har vi tillräckliga rutiner för all säkerhet (lås på telefoner, lösenordsuppdateringar m.m.)?
  • Laglighet, korrekthet och öppenhet – Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (kontrollera checklista om laglighet). De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Har kunden tillgång att kontrollera uppgifternas riktighet, skriver vi något som är olämpligt för kunden att läsa?
  • Ändamålsbegränsning – De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Används uppgifterna till något mer än för att förmedla försäkring?
  • Uppgiftsminimering – De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Är alla uppgifter vi tar in verkligen relevanta? Behöver vi veta det här?
  • Lagringsminimering – De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Fastställ vilka uppgifter som krävs enligt exempelvis penningtvättsregler, försäkringsdistributionslagen m.m. för att säkerställa att inget lagras längre än nödvändigt.
  • Ansvarsskyldighet – Bolaget är ansvarigt för dess hantering av personuppgifter. Det är därför viktigt att alla sätter sig in i reglerna och är uppmärksamma på eventuella kommande förändringar för att verksamheten ska fungera så bra och rättssäkert som möjligt.

Strukturerat material – säker hantering

Personuppgifter räknas som strukturerade så fort de görs sökbara, exempelvis genom att du lägger in dem i en databas av något slag. Detta var tidigare väsentligt eftersom man i tidigare lagstiftning inte behövde ha ett specifikt ändamål med behandlingen av vissa ostrukturerade personuppgifter genom den s.k. missbruksregeln. Denna har med anledning av GDPR slutat gälla och all personuppgiftshantering ska ske enligt ovan nämnda principer.

Det är viktigt att materialet är strukturerat och finns tydligt angivet var information sparas ned och lagras/arkiveras särskilt om en kund använder sig av rätten att bli glömd. Om en kund begär att personuppgifterna om denne ska raderas är det bolagets skyldighet att radera uppgifterna om det inte är sådan information som av annan lagstiftning eller andra skäl ska sparas. Huruvida det förekommer en dubbelarkivering, trippelarkivering eller liknande av personuppgifter finns det inget uttryckligt hinder emot men bolaget måste veta att personuppgifter om en registrerad finns på dessa två, tre ställen, och ingen annanstans.

Har exempelvis bolaget ingen struktur i sin hantering, som dessutom är svår att söka i, kan en radering av samtliga personuppgifter inte säkerställas. Detsamma gäller även vid fråga om en kund vill flytta sina uppgifter till någon annan (dataportabilitet). Huvudregeln borde därför alltid vara att använda sig av relevant CRM-system för behandlingen av personuppgifter (så som är angivet i separat IT-policy).

Registerföring

Regeln om registerföring grundar sig i att bolaget ska visa att det har kontroll över vilka personuppgifter som behandlas. Sammanfattningsvis ska en bedömning göras om ändamålen skiljer sig, vilken kategori av kunder som registreras för samma ändamål och om dessa uppgifter lämnas vidare. Bolagen ska kunna visa att de personuppgifter man behandlar sker i enlighet med de ändamål de samlats in och att de är nödvändiga för uppfyllandet av lag, avtal etc.

Dataskyddsombud

Ett dataskyddsombud (sk. DPO) kan utses för att kontrollera att företaget följer GDPR. Ett dataskyddsombud kan därför samla in information om hur företaget behandlar personuppgifter, kontrollera att företaget följer bestämmelser och interna styrdokument samt ge information och råd till företaget. Dataskyddsombudet ska alltid vara inblandat om en organisation gör, eller överväger att göra, en konsekvensbedömning för behandling av personuppgifter. En konsekvensbedömning behövs om Hubins ska samla in personuppgifter och det finns hög risk för personers rättigheter och friheter.

Dataskyddsombudet ska även vara kontaktperson för Integritetsskyddsmyndigheten, de registrerade och personalen inom företaget. Det är även lämpligt att ett samarbete sker med Integritetsskyddsmyndigheten vid eventuell inspektion.

Anna Zietek, [email protected], är utsedd till dataskyddsombud för Hubins AB.

Ett dataskyddsombud har inte ansvar för personuppgiftshanteringen i företaget. Sanktioner riktas inte mot dataskyddsombudet utan det är alltid den personuppgiftsansvarige, eller emellanåt personuppgiftsbiträdet, som är den som ansvarar för behandlingen. Ansvaret för personuppgiftsbehandlingen ligger alltid hos den personuppgiftsansvariga eller hos personuppgiftsbiträdet.

Personuppgiftsbiträde

Hubins kommer att sluta sk. Personuppgiftsbiträdesavtal med de bolag som kommer att hantera sådana personuppgifter som Hubins har behov av att samla in för att efterleva andra lagar så som till exempel penningtvättslagstiftning.

Rättelse, flytt, radering och arkivering

Genom GDPR får den registrerade (kunden) en lagstadgad rättighet att få uppgifter rättade, flyttade eller raderade om den registrerade begär det. Hubins kommer därför ha noggrann ordning på sina kundakter och material som rör en registrerad så de enkelt går att finna.

En begäran om rättelse, flytt eller radering ska göras skriftligen till bolaget, men kan göras muntligen om bolaget accepterar detta. Begäran måste bemötas inom en månad. Det ska dock noteras att inget får raderas, flyttas, eller ändras om annan lagstiftning (som exempelvis penningtvättslagstiftningen) kräver annat.

Säkerhet

Bolaget ska alltid ha kundens integritet i fokus. Huvudregeln är alltid att ha kundens integritet i fokus. Säkerheten på bolaget ska därför som allt annat genomsyras av kundens integritet.

Personuppgiftsincident

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Vid en personuppgiftsincident ska denna skyndsamt meddelas enligt Hubins rutiner för Incidentrapportering. Incidenten ska även beskrivas enligt bilagan ”Incidentrapportering” och i den görs en bedömning av huruvida skada eller risk för skada (i form av att behandlade personuppgifter kan komma att missbrukas, felaktigt spridas eller på annat sätt komma på orätta vägar samt vilken typ av personuppgift som är föremål för incidenten) ska anmälas.

Vid en personuppgiftsincident är det viktigt att följa de rapporteringskrav och informationskrav som lagstiftningen ställer. Enligt lagstadgat krav har bolaget 72 timmar på sig från och med att bolaget fick kännedom om incidenten. Om bolaget inte lyckas rapportera till Dataskyddsinspektionen så ska detta motiveras. Det är därför av väsentlig betydelse att en incidentrapportering sker skyndsamt på grund av de lagstadgade krav som återfinns på området. En bedömning och vägledning i följande arbete kommer således att göras i samråd med Hubins AB.