Personuppgifter
GDPR omfattar alla personuppgifter ingår i ett register och behandlas, t.ex. förvaras i en dator, i molnet eller i en mobiltelefon. Personuppgifter är alla uppgifter som direkt eller indirekt kan identifiera en fysisk person: namn, personnummer, bilder, e-postadress, telefonnummer, fotografi av personen osv. Ibland kan flera uppgifter tillsammans identifiera en person och då sammantaget bli personuppgifter.
Personuppgiftsansvarig
Personuppgiftsansvarig är den som hanterar personuppgifterna för sitt eget syften och ändamål. En personuppgiftsansvarig kan lämna över hanteringen till ett personuppgiftsbiträde som då behandlar personuppgifterna enligt dina instruktioner. När det görs ska ett personuppgiftbiträdesavtal skrivas.
Rättslig grund för behandling
I din verksamhet får du bara behandla personuppgifter som du har rättslig grund för att det. Personen vars personuppgifter du behandlar ska få information om behandlingen. Du får bara behandla per- sonuppgifterna för ändamål som är förenliga med det ändamål som de samlades in för, eller samtycke inhämtats till annan användning. Dessutom får du inte behandla fler uppgifter i verksamheten än som behövs för ändamålet och inte lagra uppgifterna längre än de behövs. Du har ansvar att se till att personuppgifterna är korrekta och uppdaterade, samt att behandlingen är säker så att uppgifterna inte förvanskas eller förstörs eller att obehöriga kommer åt uppgifterna.
Du måste för att få behandla personuppgifter i din verksamhet kunna stödja behandlingen på någon av följande rättsliga grunder för laglig behandling.
- samtycke från den registrerade
- avtal med den registrerade
- fullgöra en rättslig förpliktelse
- för att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person
- för att utföra en uppgift av allmänt intresse eller myndighetsutövning
- intresseavvägning
Register
Som personuppgiftsansvarig måste du föra ett register över de behandlingar av personuppgifter som ditt företag ansvarar för. Ett behandlingsregister ska innehålla ändamål med behandlingen, den rättsliga grunden för behandlingen, kategorier av personuppgifter som behandlas, mottagare av uppgifterna, skyddsåtgärder om personuppgifter behandlas utanför EU, tidsfrist för radering, beskrivning av säkerhetsåtgärder, samt kontaktuppgifter,
Information
De personer vars uppgifter ditt företag hanterar har rätt till information om behandlingen. På begäran ska du lämna ut ovanstående information till en person vars uppgifter du behandlar. Informationen ska vara koncis, klar och tydlig, begriplig samt delas i ett lättillgängligt format. Den registerade har också rätt att begära att du rätta felaktiga uppgifter samt kompletterar ofullständiga uppgifter utan onödigt dröjsmål.
Incidenter
Om personuppgifter oavsiktligt eller olagligt blir förstörda, ändrade eller obehöriga kommer åt uppgifterna kallas det för personuppgiftsincident och ska rapporteras samt dokumenteras.
Fotografering
Bilder är personuppgifter och som fotograf behandlar du därmed dagligen personuppgifter. Vi har samlat vanliga frågor och svar kring detta i två artiklar Hur påverkas du som fotograf av GDPR (del 1)? och Hur påverkas du som fotograf av GDPR (del 2)?
Marknadsföring
Du måste följa GDPR när du behandlar personuppgifter i samband med marknadsföring. Det kan handla om t ex att skcika ut erbjudande via e-post. Huvudregeln är att du enbart får använda dig av e-postmarknadsföring gentemot en potentiell kund då denne givit dig lov. Undantaget är om kounden sedan tidigare handlat av dig och det rör sig om liknande tjänster och inte i övrigt motsatt sig marknadsföring. Det ska på ett enkelt sätt finnas möjlighet att avbeställa marknadsföringen, t.ex. genom en länk i e-postmeddelandet. Om kunden är ett företag och inte en privatperson får du däremot fritt använda dig av e-post enligt marknadsföringslagen.
Sammanfattning – vad behöver du göra?
- kartlägg hur du hanterar personuppgifter och se till att detta följer reglerna
- gör ett register över behandlingarna av personuppgifter
- se till att det finns sparade skriftliga samtycken när det används som rättslig grund för behandling av personuppgifter
- ta fram information till de registrerade om hur deras personuppgifter behandlas
- se till att det finns en rutin kring detta så att informationen lämnas till den registrerade
- se till att ha personuppgiftbiträdesavtal om någon annan hanterar personuppgifter åt dig, t ex om en konsult fakturerar dina kunder
- ha rutin för hantering av personuppgiftsincidenter