Dataskyddsförordningen
Dataskyddsförordningen är en ny EU-lag som ersätter personuppgiftslagen (PuL) för hur behandling av personuppgifter ska hanteras. Förordningen är likadan över hela EU vilket gör att det blir lättare att arbeta med personuppgifter mellan europeiska länder. Förordningen ställer dessutom högre säkerhets- och informationskrav än PuL på företag och organisationer som behandlar person-uppgifter. Dataskyddsförordningen fokuserar på de registrerades rättigheter till sina uppgifter och lägger därför stor vikt vid dessa rättigheter och de medföljande skyldigheter som de företag som behandlar uppgifter har.

 

Personuppgifter

En personuppgift är en uppgift som ensamt eller tillsammans med andra uppgifter kan användas av någon för att identifiera en nu levande fysisk person. Företagsuppgifter omfattas alltså inte.

Exempel på personuppgifter är: Personnummer, adress, e-post, telefonnummer, fastighets-beteckning, IP-adress och fotografier på personer.

Alla uppgifter som ensamma eller tillsammans med andra uppgifter kan användas för att identifiera en fysisk person är en personuppgift. Det betyder att vi som företag som behandlar uppgifter måste säkra även uppgifter som ensamma inte kan identifiera en person men som i kombination med en eller flera andra uppgifter skulle kunna göra det.

Känsliga personuppgifter

Vissa kategorier av personuppgifter har bedömts vara så känsliga att de bara får behandlas om det finns direkt stöd i lag eller den registrerade har gett sin uttryckliga tillåtelse. Om behandling är tillåten så måste dessutom extra stor hänsyn tas till säkerheten och den registrerades integritet.

Dessa uppgifter är: etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter, hälsa eller sexuell läggning.

Det betyder att det är mycket viktigt vid registrering av nya noteringar, ändring av sparade noteringar eller uppgifter att kontrollera att de inte innehåller några känsliga personuppgifter som vi inte har laglig rätt att behandla. Endast om det verkligen är motiverat får en sådan uppgift sparas i datasystemet. Om en kund skriver eller skickar in material som exempelvis innehåller hälsouppgifter och det inte är absolut nödvändigt för utförandet av vårt uppdrag ska inte sådana uppgifter sparas utan raderas efter att eventuella övriga uppgifter noterats i datasystemet.

Behandling

När Adecla gör något med en personuppgift kallas det för att behandla uppgiften. När en uppgift behandlas måste det ske säkert och med skydd för integriteten för personuppgiften. En behandling är inte bara när vi tar upp information utan också när vi lagrar uppgiften, när vi först registrerar uppgifterna i systemet eller när vi tar backup på databasen.

Adeclas ansvar

Ansvaret för att behandlingen av uppgifterna sker korrekt ligger på hela Adecla med VD och styrelsen som ytterst ansvariga.

Gallring

Adecla får inte ha uppgifter i sina datasystem som vi inte har behov av. ”Bra att ha” uppgifter får inte sparas bara för att de är bra att ha. Det är därför viktigt att inte spara personuppgifter i mejl eller på andra platser än där det skall vara.

Rättelse

En person som är registrerad i något av Adeclas datasystem har rätt att få sina uppgifter rättade om de är felaktiga. Det betyder att när en registrerad kontaktar Adecla och anger att uppgifterna inte är korrekta måste vi utreda om den information som den registrerade menar är felaktig faktiskt är det. Det kan vi exempelvis göra genom att jämföra informationen med folkbokföringen eller andra källor och se om det överensstämmer. Om det visar sig att informationen vi har registrerat är felaktig måste vi rätta den så snart som möjligt.

Vi måste alltid utreda om uppgifterna stämmer men behöver inte ändra om det visar sig att uppgifterna som den registrerade meddelar inte stämmer överens med vad vi vet eller kan se i offentliga register. En kund kan alltså inte tvinga oss att registrera en ny adress om vi anser att den nya adressen inte stämmer.

Radering

En person som är registrerad i något av Adeclas datasystem har rätt att få sina uppgifter raderade om det inte längre finns behov av att ha uppgifterna kvar. Den registrerade måste då kontakta Adecla och meddela att den vill att vi tar bort all information om personen i våra datasystem.

När en registrerad begär att bli raderad måste vi så snart som möjligt utreda om uppgifterna verkligen ska raderas. Kommer vi fram till att vi inte har behov av uppgifterna längre ska de raderas utan dröjsmål. Om utredningen visar att vi fortfarande har behov av uppgifterna då ska uppgifterna inte raderas.

Registerutdrag

En person som är registrerad i något av Adeclas datasystem har rätt att få ett utdrag ur datasystemet med allt som finns registrerat om personen. Registerutdraget är kostnadsfritt för den registrerade och antingen lämnas ut elektroniskt eller fysiskt, beroende på vad den registrerade önskar. Om personen begär flera registerutdrag i snabb följd har Adecla rätt att ta ut en ersättning för att lämna ut materialet eller i vissa fall neka att lämna ut uppgifterna. Att neka en sådan begäran kräver dock att vi verkligen kan motivera att det inte är skäligt att lämna ut uppgifterna, så huvudregeln är att vi ska lämna ut det begärda materialet.

Säkerhet som standard

Dataskyddsförordningen kräver att datasystem där personuppgifter behandlas sätter säkerhet främst, inte bara rent tekniskt utan även fysisk säkerhet i lokalerna samt rutiner för hur vi arbetar med personuppgifter i systemet.

Det innebär bland annat att vi har begränsningar i hur användare har rätt att använda systemen. Systemen har därför flera nivåer av säkerhet, anställda kommer endast kunna se de uppgifter de behöver för att kunna genomföra sina arbetsuppgifter.

Missbruksregeln (E-post och löpande text)

Tidigare har löpande text i exempelvis worddokument eller mail i mailprogrammet varit undantaget från personuppgiftsreglerna, så länge behandlingen inte kränkt någon eller missbrukats.

Detta undantaget försvinner när dataskyddsförordningen införs vilket gör att personuppgifter som finns i sådana program nu måste behandlas med samma säkerhet och integritetstänk som andra datasystem. Vi får alltså fortfarande ta emot e-post och skriva personuppgifter i excel och word men de måste behandlas på samma säkra och lagliga sätt som all annan personuppgiftsbehandling.

Rätt att behandla uppgifterna

För att få behandla uppgifterna måste Adecla ha en rättslig grund som tillåter oss att behandla uppgifterna. De rättsliga grunderna är uppräknade i dataskyddsförordningen och inga andra än de som uttryckligen skrivits där är tillåtna.

De grunder som kan bli aktuella för Adecla är:
·         Samtycke från den registrerade
·         Behandlingen är nödvändig för att fullgöra ett avtal
·         Det finns ett allmänt intresse att tjänsten utförs
·         Det finns lagkrav eller myndighetsbeslut som kräver att uppgifterna behandlas
·         Adecla har ett berättigat intresse att behandla uppgifterna

Kontaktuppgifter för personer som arbetar hos kunder eller leverantörer är också personuppgifter och måste behandlas som sådana. För behandling av sådana uppgifter har Adecla det som kallas berättigat intresse att behandla uppgifterna. Vid varje ny sådan behandling bedömer vi om vi har större intresse att behålla uppgifterna än vad den registrerade har av att vi tar bort den.

Andra uppgifter i våra system kan ha en annan grund och om en registrerad kontaktar oss med frågor angående rättigheter och skyldigheter enligt dataskyddsförordningen hänvisas personen till den ansvarige för dataskyddsfrågor på Adecla.

Personuppgiftsbiträden

Adecla använder sig av underleverantörer till olika saker i sin verksamhet, exempelvis system för portföljhantering, funktioner för risk- och regelefterlevnad m. fl. Dessa underleverantörer behandlar ofta personuppgifter som Adecla samlat in och därmed också ansvarar för. Adecla skall ha personuppgiftbiträdesavtal med samtliga personuppgiftsbiträden.

Personuppgiftsincident

En personuppgiftsincident är när personuppgifter oavsiktligt eller olagligt förstörs, förloras, ändras, sprids eller på annat sätt behandlas på ett sätt som kan skada eller kränka den registrerade.

Exempel på personuppgiftsincidenter är:
·         Någon stjäl en dator där personuppgifter är sparade
·         Någon tappar bort sin mobiltelefon som är kopplad till jobbmailen
·         En hacker tar sig in i databasen där personuppgifter finns sparade
·         En eller flera datorer får sina hårddiskar krypterade av ett virus

Observera att listan inte är uttömmande och att fler situationer kan kvalificera som personuppgiftsincidenter.

Uppgifter behöver inte vara stulna eller ha kommit obehöriga tillhanda
En uppgift behöver inte vara stulen eller ha skickats till en obehörig för att det ska räknas som en incident. Det räcker exempelvis, som syns i listan, med att uppgifter förstörs trots att de skulle sparas för att det ska kvalificera som en incident.

Om det har hänt någonting med uppgifter registrerade hos Adecla som det inte var tänkt att det skulle hända kan det vara en personuppgiftsincident. Därför kontrolleras med den ansvarige för dataskyddsfrågor om det uppstår en situation där personuppgifter utsatts för risk.

Vissa incidenter måste rapporteras till myndigheterna
Alla personuppgiftsincidenter måste registreras i Adeclas egna incidentregister men allvarligare incidenter måste också rapporteras vidare. Vid särskilt allvarliga incidenter måste dessutom de registrerade som drabbats informeras.

En allvarlig personuppgiftsincident måste inom 72 timmar från det att Adecla blir medvetna om incidenten rapporteras till Integritetsskyddsmyndigheten (Datainspektionen). Rapporten är standardiserad en mall för rapportering av personuppgiftsincidenter har tagits fram och finns hos ansvarig för dataskyddsfrågor hos Adecla.

Insamlande av samtycke

I vissa situationer bör Adecla samla in samtycke från den registrerade för att få behandla vissa uppgifter. Exempel på det är om en företrädare för ett företag hör av sig och vill få en faktura skickad till sin privata adress eller när en person vill att vi noterar känsliga uppgifter såsom hälsa och sjukdomstillstånd.

Information visas inte

Gallring av en personuppgift kan ske efter det att informationen är inaktuell, när vår rätt att behandla uppgifterna upphör eller på uppdrag av kunden. Efter att informationen gallrats finns ingenting kvar, det går därför inte att återskapa informationen i efterhand.

 

Rutin för insamlande av samtycke

1.       Verifiera personens identitet.

2.       Informera om våra kontaktuppgifter:

2.1.    Adecla behandlar dina personuppgifter i enlighet med dataskyddsförordningen. För kontakt med Adecla kan du antingen ringa 08-400 112 10, maila på info@adecla.com eller gå in på vår hemsida www.adecla.com

3.       Informera om villkoren för samtycket.
3.1.    Dina uppgifter kommer behandlas för att vi skall kunna utföra de tjänster som du/ni och vi har avtalat om, t.ex. rapportering, förvaltning eller rådgivning. Vi behandlar dina uppgifter med ditt samtycke.
3.2.    Adecla samt våra personuppgiftsbiträden kan komma att ta del av dina uppgifter.
3.3.    Uppgifterna kommer att sparas så länge de behövs för att uppfylla ändamålet eller till dess att ditt samtycke återkallas.
3.4.    Du har som registrerad rätt att begära rättelse, radering samt begränsning av behandlingen av dina uppgifter, kontakta oss i sådant fall.
3.5.    Du har närsomhelst rätt att återkalla ditt samtycke, kontakta oss då och meddela detta.

4.       Informera att den registrerade har rätt att klaga till Integritetsskyddsmyndigheten.
4.1.    Om du inte är nöjd med informationen eller hur vi behandlat dina uppgifter enligt dataskyddsförordningen har du rätt att inge klagomål till Integritetsskyddsmyndigheten.

5.       Notera att den registrerade samtyckt till personuppgiftsbehandling samt informerats om sina rättigheter enligt rutinen.

 

Rutin vid personuppgiftsincident

När du upptäcker en händelse som kan vara en personuppgiftsincident är det viktigt att du dokumenterar all information du har möjlighet i ärendet.

Om exempelvis din dator blir låst av ett virus eller det av misstag mailats personuppgifter till någon som inte ska ha tillgång till dem är det därför nödvändigt att du antecknar allt du kan om incidenten och därefter kontaktar ansvarig personal.

Ansvarig personal utreder sedan incidenten och vidtar därefter de nödvändiga åtgärder som behövs med bedömning av ärendets omständigheter och allvarlighet. Du kan behöva vara behjälplig under utredningen.

Adeclas ansvarige för personuppgiftsfrågor är Mats Melin, mats@adecla.com, 08-400 112 14.