GDPR En översikt över varför du behöver göra något och vad

Ja, då var vi här igen då. GDPR. Jag märker att många inte har hunnit så långt de borde och tänker att "jaja, det är nog lugnt. Det är väl ändå inte oss Datainspektionen kommer att ge sig på". Och nej, det är det såklart inte. Om ni inte heter "Största assistansverksamheten i Sverige" i alla fall. Men det ÄR nog inte Datainspektionen som är den stora faran heller. Det är istället era anställda, kunder, tidigare anställda, arbetssökande och så vidare som kan se sin chans i att stämma er och begära skadestånd om ni inte informerar om vilka personuppgifter ni har om dem och med vilken laglig grund.

Det du behöver göra väldigt omgående är alltså:

Gör ett register över i vilka program, pärmar, onlinetjänster, molntjänster, sms-servrar, arkiv etc etc du förvarar och/eller behandlar dina anställdas, uppdragsgivares, arbetssökandes, anhörigas etc personuppgifter.

Beskriv i registret med vilken rättslig grund du har dessa uppgifter och vad som är ändamålet med att du har dem. Om du driver assistans i en privat verksamhet kan du använda följande rättsliga grunder:

  • samtycke
  • avtal
  • rättslig förpliktelse
  • intresseavvägning

Om du är kommunal verksamhet kan du använda de rättsliga grunderna

  • rättslig förpliktelse
  • uppgift av allmänt intresse eller myndighetsutövning
  • avtal

Om det visar sig att du har personuppgifter som du inte har något ändamål eller någon rättslig grund för behöver du rensa men här behöver du tänka ordentligt så du inte slänger uppgifter du är skyldig att spara! Om lagen säger att du ska spara något, t ex dokumentation enligt LSS eller bokföring enligt bokföringslagen så måste du göra det. Då använder du rättslig förpliktelse som rättslig grund och sparar så länge du behöver.

När du gör din lista behöver du också fundera över vilka företag och personer du kan behöva teckna ett personuppgiftsbiträdesavtal med. Det är alla som på något sätt behandla de personuppgifter du har samlat in och är ansvarig över. T ex revisorn, dokumentationsprogrammet, microsoft office, Facebook osv. Troligen kommer "de stora" inte att vilja teckna ett avtal med dig utan de hänvisar till något som de själva har tagit fram. Då måste du göra en egen bedömning om det du får är tillräckligt för dig. I avtalet ska ditt biträde åta sig att:

  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige (dvs ditt företag)
  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan
  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen
  • Respektera kraven på förhandstillstånd och avtal vid anlitande av ett annat biträde (ett underbiträde)
  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter, såsom rätten till information och registerutdrag, rättelse, radering med mera
  • Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd
  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior
  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.

Om den programvara du vill använda inte åtar sig att göra allt ovanstående får du fundera över om du verkligen har råd att anlita dem framöver.

En särskild sak du behöver fundera över är tystnadsplikten. Försök att skriva in att den programvara eller lagringstjänst du använder inte får gå in och behandla uppgifter utan att du får göra en men-prövning först.

När du är klar med detta återstår att skriva information till alla personer du har personuppgifter om eller som du vill begära personuppgifter av. Den informationen ska vara skriven så att den lätt går att förstå. Den ska innehålla följande:

  • uppgifter om den som är personuppgiftsansvarig, till exempel namn, adress, telefonnummer och i förekommande fall organisationsnummer och e-postadress
  • ändamålen med behandlingen, det vill säga varför personuppgifterna registreras och hur de ska användas
  • övrig information som den registrerade behöver känna till, som exempelvis:
    • vilka typer av uppgifter som ska behandlas
    • till vilka företag eller andra organisationer (eller typer av dessa) som uppgifterna kan komma att lämnas ut
    • om det är frivilligt för den registrerade att lämna uppgifter
    • att den registrerade har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om honom eller henne
    • att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta uppgifter som är felaktiga, ofullständiga eller missvisande

Googla gärna runt och kolla hur andra informerar - det är helt okay :)

Slutresultatet av dina mödor ska vara att när en person hör av sig och vill veta vilka personuppgifter du har om denne så kollar du bara i din registerförteckning VAR du har informationen och plockar fram dem till den som frågar.

Exempel:
Lisa Grönvall, en före detta anställd ringer in och vill veta vilka personuppgifter ni har om henne.

Ni tittar i er lista och ser att eftersom det är en fd anställd har ni tagit bort alla bilder som ni hade i personalsystemet, e-postadressen och bilder från hemsidan. I löneprogrammet har ni också tagit bort onödiga uppgifter, t ex mailadressen. Sjukintyg och läkarintyg har ni sorterat bort redan tidigare eftersom de bara sparas så länge det är aktuellt. Ni har behållit skälet till varför anställningen upphörde, arbetsgivarintyg och betyg. Allt detta lämnar ni över.

Sen har ni också kvar uppgifter från lönesystemet som t ex ackumulerad lön, lön och annat som skulle kunna identifiera den enskilde indirekt. Det är inte SÄKERT att en lön på 150 kr per timme är en personuppgift men det SKULLE kunna vara det, om bara en person har det. Därför har ni valt att ha med det i ert register. Dessa uppgifter lämnar ni också ut.

I dokumentationsprogrammet har ni kvar assistentens namn och anställningsnummer så länge dokumentationskraven i LSS. Det är inte vad assistenten säger den har rätt att få ut utan vilka personuppgifter ni sparar så då talar ni om det.

Ni har också sparat assistentens namn och personnummer i tidsredovisningssystemet. Eventuellt andra uppgifter har ni rensat bort. Detta meddelar ni assistenten.

Och så vidare...

Känner du att du har koll nu? Annars kommer här några sista-minutentips.
Läs på Datainspektionens sida. De har massor, massor med bra information. Helt gratis.
Lyssna på GDPR-podden. Också gratis och massor med information.
Kom på min kurs i Göteborg den 12 juni. Det finns fortfarande platser kvar. Sista anmälningsdag är den 15 maj.

Om du känner att du verkligen har NOLL koll kanske du ska överväga att ta in hjälp så fort det är möjligt. Det kan som sagt bli dyrt att negligera det här. Ni kommer kanske inte att hinna bli klara till den 25 maj men ni hinner möjligen börja och sen får man se det som det systematiska integritetsskyddsarbete det faktiskt är.

Och med det önskar jag er en riktigt trevlig helg!

Hemsida & Design av Intendit Webbyrå