GDPR – 5 snabba!

Den nya dataskyddsförordningen (GDPR) blir verklighet om några månader och många undrar hur det kommer att påverka deras verksamhet. Här har vi besvarat några vanliga frågor vi fått!

GDPR börjar gälla 25 maj

EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen börjar gälla direkt som lag i alla medlemsstater och ersätter då personuppgiftslagen (PUL) här i Sverige från och med 25 maj 2018.

Varför införs GDPR?

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.

Är det tillåtet enligt GDPR att skicka fakturor via mejl?

Fakturor går normalt bra att skicka via mail (eftersom de sällan innehåller några känsliga personuppgifter såsom t ex hälsa, politiska åsikter, religion mm). Personnummer räknas inte som en känslig personuppgift men däremot så får personnummer bara behandlas (t ex skickas med e-post) om det är klart motiverat med hänsyn till ändamålet med behandlingen.

Om inte kundens personnummer behöver anges på fakturorna bör man plocka bort personnumret. Ett annat alternativ är att utesluta de fyra sista siffrorna i personnumret för då räknas det inte som ett personnummer enligt GDPR.

Gäller GDPR bara företag eller även privatpersoner?

GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter.

Om en kund hävdar rätten att bli glömd GDPR måste vi radera allt om den personen?

Rätten att bli bortglömd gäller bara om:

  • uppgifterna inte längre behövs för de ändamål som de samlades in för
  • behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
  • behandlingen grundar sig på berättigat intresse som den registrerade bestrider och som avgörs vara ogiltigt
  • personuppgifterna har behandlats olagligt.

En kund kan alltså inte begära att få bli bortglömd om du måste behålla personuppgifter för att uppfylla en rättslig skyldighet. Ett exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt bokföringslagen.

Kan man inte skicka lönespecifikationer med mail då GDPR börjar gälla?

Lönespecifikationer riskerar att innehålla känsliga personuppgifter (främst kopplat till den anställdes hälsa, t ex sjukavdrag, sjuklön, osv) och är därmed olämpliga att skicka med vanlig mail. Skulle inte lönespecifikationerna innehålla uppgifter som klassificeras som känsliga är det förvisso inget som hindrar att mail fortsätter användas – men det kan ju ändå vara ett bra tillfälle att byta till en bättre metod (och då menar vi inte att återgå till lönespecifikationer på papper som kanske skickas med posten). En löneapp eller en webbtjänst som kräver inloggning är lämpliga val.