Vem bryr sig om GDPR?

av | dec 5, 2017 | Nyheter |

Vi förklarar vad som gäller.

Den 25 maj 2018 träder General Data Protection Regulation (GDPR) ikraft inom EU och ersätter då i Sverige i princip nuvarande personuppgiftslagen (PUL).GDPR kommer att på olika sätt påverka alla jurisdiska personer som av olika skäl hanterar personuppgifter. Så om du är en idrottsklubb med medlemslistor, en sponsor med data om din målgrupp eller kanske en eventbyrå med deltagarlistor kommer det behövas kunskap om hur uppgifterna får och kan hanteras.
Med detta i åtanke arrangerade SES tillsammans med advokatbyrån MAQS nyligen en intressant halvdagsutbildning för sina medlemmar. För medlemmar och andra som inte hade möjlighet att delta men ändå vill veta mer om GDPR kommer här en kort resumé.

Basfakta
Förordningen avser all hantering och skydd av personuppgifter. Personuppgifter definieras som ”varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras…”. Det avgörande är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person (rena anonyma statistikuppgifter omfattas alltså inte). Hur uppgifterna lagras har ingen betydelse så länge det görs på ett ordnat och strukturerat sätt.Den som hanterar uppgifterna kallas personuppgiftsansvarig och ska vara en juridisk person. Personuppgiftsbiträde är den som personuppgiftsansvarige samarbetar med och som man delar uppgifter med. Biträde kan till exempel vara en eventbyrå som får inbjudningslistor av sin uppdragsgivare. Avtal som reglerar hantering och ansvarsområden ska finnas mellan ansvarige och biträde.Personuppgifterna ska förvaras på ett säkert sätt så att ingen obehörig har tillgång till data. Det kan gälla allt från låsta arkivdörrar till hantering av inloggningsuppgifter. Man bör alltså bland annat funderar över hur man gör med nycklar och lösenord till datasystem om någon slutar. Det kan också vara klokt att ha en handlingsplan klar så man vet hur man ska agera utifall personuppgifter trots allt kommer på villovägar.

Ansvarig myndighet i Sverige är Datainspektionen. Bryter man mot förordningen kan en sanktionsavgift utgå med upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Den som lidit skada på grund av att personuppgifter hanterats i strid med förordningen har också rätt till skadestånd. Troligtvis blir det dock först mer fråga om administrativa åtgärder och förelägganden.

Krav
Det är viktigt att insamling och lagring av personuppgifter har ett klart och dokumenterat ändamål och att de är adekvata och relevanta i förhållande till de ändamål för vilka de behandlas. Uppgifterna ska också vara korrekta och om nödvändigt uppdaterade. Om ändamål och/eller behovet av uppgifterna ändras eller upphör ska uppgifterna raderas snarast möjligt.

För att få lov att lagra personuppgifter så ska enligt lag vissa kriterier vara uppfyllda. De som normalt kan vara aktuella är;
– Uppgifter som krävs då avtal tecknats, typ kontaktperson och faktureringsuppgifter
– Rättsliga förpliktelser som i princip hänger ihop med anställningar och bokföring
– Berättigat intresse, dvs att uppgifter är nödvändiga för den verksamhet man bedriver. Dock att det inte påverkar den registrerades intressen eller grundläggande rättigheter och friheter vilka väger tyngre och kräver skydd av personuppgifter.

En av grundtankarna bakom GDPR är att stärka den enskildes integritet och skydd. Det finns därför ett krav på samtycke från den vars uppgifter samlas in. Gäller det enkla och allmänt tillgängliga uppgifter (t.ex. på ett företags hemsida) som namn, telefon och mail krävs inget aktivt samtycke utan då anses det att personen ifråga redan godkänt att uppgifterna är ”publika”. Är uppgifterna mer omfattande eller känsliga – exempelvis personnummer, politiska åsikter, bedömningar, hälsa, personliga förhållanden och status – krävs alltid samtycke. Samtycket ska vara frivilligt, separat från andra avtal eller godkännanden och helst skriftligt (läs: bevisfråga).

Vill någon veta vilka uppgifter som sparats ska information lämnas ut utan dröjsmål eller kostnad. Det är då viktigt att personuppgiftsansvarig är noga med id-kontroll så att rätt uppgifter lämnas ut till rätt person. Vill istället någon att dess personuppgifter ska raderas ska detta göras snarast möjligt.

Formalia
Ändamål och hur personuppgifter hanteras ska dokumenteras och informationen spridas till berörda personer och avdelningar i den egna organisationen. Denna dokumentation kan också bli viktig om frågor senare uppstår med personer som är registrerade eller kontroller görs av myndigheterna.

Nästa steg…
Fram till införandet av GDPR kan det vara klokt för alla organisationer som hanterar personuppgifter att ta fram en handlingsplan där man tittar på vilka uppgifter man hanterar, varför man gör det och hur man gör det. Handlingsplanen bör resultera i ett styrdokument som reglerar den fortsatta hanteringen så att den korresponderar med förordningen och även den framtida utvecklingen för GDPR.

Tips
Känner man sig osäker på GDPR och hur man ska gå vidare finns det två bra och konkreta tips.
1. Datainspektionens hemsida – där finns mycket bra information och svar på vanliga frågor

2. Konsultera extern expertis, till exempel en advokatfirma som kan personuppgiftslagen och GDPR – kan vara väl investerade pengar. Som SES-medlem har du 30 min fri rådgivning från våra jurister i JuristPanelen (obs du måste vara inloggad för att komma åt denna sida).

3. Beställ en GDPR-riskanalys! Vår samarbetspartner Lyyti har tagit fram en riskanalys som  är ett mycket bra sätt att ta reda på hur din eventhanteringsprocess mäter sig mot den nya dataskyddsförordningen.  I analysen går Lyyti igenom din process steg för steg och ser om där finns något som behöver åtgärdas innan den 25 maj 2018, då förordningen träder i kraft. GDPR-riskanalysen är helt gratis.

Text skriven av Mats Ehrlemark

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Sponsrings & Eventsverige AB, orgnr. 556429-4170 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.
Bekräfta val Acceptera alla