blogg

Ett år med GDPR – fem frågor du bör ha koll på

Sedan snart ett år tillbaka är det GDPR som slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person. För alla verksamheter som samlar in personuppgifter har detta inneburit en hel del förändringar.

Ett år med GDPR – fem frågor du bör ha koll på

Det finns dock stora skillnader i hur berörda verksamheter hanterat anpassningen till GDPR – General data protection regulation. En del har knappt vidtagit några åtgärder alls, medan andra i god tid tog fram strikta rutiner för alla eventualiteter. I fall där man inte ännu anpassat verksamheten efter de nya reglerna är det ofta okunskap om kraven som är orsaken. Lagen är komplex och inte helt enkel att tillämpa – det ser vi inte minst efter att ha tagit del av flera verksamheters nya rutiner som tagits fram av jurister och experter. Där finns ett brett spann av hur strikt man tolkar lagtexten och råden och hur man applicerar dem på just sitt område. Utifrån de verksamheter som merparten av våra kunder bedriver har vi sammanställt några av de viktigaste punkterna som är viktiga att tänka på och som bör ha klara svar vid det här laget.

Fem viktiga frågor gällande GDPR i din verksamhet

  1. Vilket är ändamålet med insamlingen av uppgifterna?Behandling av personuppgifter får endast ske med definierat ändamål, och detta får i princip inte ändras eller utökas i efterhand. Ändamålen måste vara specifika och konkreta och ha ett klart syfte. Det räcker alltså inte med att ange ”förbättring av användarupplevelse”, ”it-säkerhet” eller ”framtida forskning”. Det är alltför brett uttryckt och de registrerade kan inte bedöma vad sådan personuppgiftsbehandling kan innebära.
  2. Är uppgifterna nödvändiga? 
    En central princip i GDPR är uppgiftsminimeringen som handlar om att man inte får samla in fler personuppgifter än vad som är nödvändigt för ändamålet.
  3. Finns det samtycke?
    En förutsättning för inhämtning av uppgifter är samtycke från personen vars uppgifter inhämtas och lagras.  Samtyckesbegreppet har i GDPR utökats i förhållande till samtyckesbegreppet i personuppgiftslagen. Den som tidigare har inhämtat samtycke i enlighet med personuppgiftslagen har inte nödvändigtvis längre ett giltigt samtycke efter att GDPR trädde i kraft.
  4. Hur länge sparas uppgifterna?
    Personuppgifter skall enbart sparas så länge det är nödvändigt för att uppfylla det ändamål för vilka de registrerades. Med andra ord, man får inte spara uppgifter bara för att de är ”bra att ha”. När uppgifterna inte längre behövs för att uppfylla de ursprungliga ändamålen skall de raderas. Om det finns andra bestämmelser om bevarande av personuppgifter i en annan lag eller förordning, till exempel i registerlagstiftning, är det de bestämmelserna som gäller. Dessutom får personuppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som anges ovan. Uppgifterna får dock inte bevaras längre än vad som behövs för dessa ändamål.
  5. Hur raderas uppgifterna?
    Det finns två sätt att ta bort personuppgifter – att avidentifiera eller radera dem. Uppgifter som inte behöver sparas alls kan raderas, men annan information kan behöva finnas kvar för statistik och analys. Den datan kan istället avidentifieras genom att uppgifter som namn och personnummer tas bort. Hanteringen av avdentifiering och radering kan vara både manuell och automatiserad, huvudsaken är att det finns en säkerställd rutin för gallringen.

Har du frågor om GDPR och er verksamhet eller vill du veta mer om hur SBS Manager är anpassat efter de nya lagarna? Välkommen att kontakta vår Sales Manager Jonas Karlberg så berättar han mer.