GDPR – 5 snabba!

Newsroom - GDPR – 5 snabba! - ctl00_cph1_approvedImg

GDPR blir verklighet om några månader och många undrar hur det kommer att påverka deras verksamhet. Här har vi besvarat fem vanliga frågor vi fått!

GDPR

EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen börjar gälla direkt som lag i alla medlemsstater och ersätter då personuppgiftslagen (PUL) här i Sverige från och med 25 maj 2018. För dig som hanterar personuppgifter har vi tagit fram en lättanvänd mall som snabbt och enkelt hjälper dig att upprätta ett juridiskt korrekt personuppgiftsbiträdesavtal.

1. Varför införs GDPR?

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.

2. Är det tillåtet enligt dataskyddsförordningen (GDPR) att skicka fakturor via mejl? Jag är fastighetsägare och hyresavierna innehåller hyresgästens personnummer, är det ok?

Fakturor går normalt bra att skicka via mail (eftersom de sällan innehåller några känsliga personuppgifter såsom t ex hälsa, politiska åsikter, religion mm). Personnummer räknas inte som en känslig personuppgift men däremot får personnummer bara behandlas (t ex skickas med e-post) om det är klart motiverat med hänsyn till ändamålet med behandlingen.

Om inte hyresgästens personnummer behöver anges på fakturorna i detta fall torde det inte vara motiverat att ha med det. Då bör man plocka bort personnumret. Ett annat alternativ är att utesluta de fyra sista siffrorna i personnumret för då räknas det inte som ett personnummer enligt GDPR.

3. Gäller den nya dataskyddsförordningen (GDPR) bara företag eller även privatpersoner?

GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter. 

4. Om en kund hävdar rätten att bli glömd enligt dataskyddsförordningen (GDPR) måste vi radera allt om den personen?

Rätten att bli bortglömd gäller bara om:
• uppgifterna inte längre behövs för de ändamål som de samlades in för
• behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
• behandlingen grundar sig på berättigat intresse som den registrerade bestrider och som avgörs vara ogiltigt
• personuppgifterna har behandlats olagligt.
En kund kan alltså inte begära att få bli bortglömd om du måste behålla personuppgifter för att uppfylla en rättslig skyldighet. Ett exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt bokföringslagen.

5. Kan man inte skicka lönespecifikationer med mail då den nya dataskyddsförordningen (GDPR) börjar gälla?

Lönespecifikationer riskerar att innehålla känsliga personuppgifter (främst kopplat till den anställdes hälsa, t ex sjukavdrag, sjuklön, osv) och är därmed olämpliga att skicka med vanlig mail. Skulle inte lönespecifikationerna innehålla uppgifter som klassificeras som känsliga är det förvisso inget som hindrar att mail fortsätter användas – men det kan ju ändå vara ett bra tillfälle att byta till en bättre metod (och då menar vi inte att återgå till lönespecifikationer på papper som kanske skickas med posten). En löneapp eller en webbtjänst som kräver inloggning är lämpliga val.

Vill du veta mer kan vi rekommendera webbkursen GDPR från grunden där vi går igenom vad den nya lagen innebär och vad du behöver göra för att uppfylla kraven i GDPR.

Få de viktigaste nyheterna kostnadsfritt!

BL Nyhetsbrev kommer en gång i månaden och sammanfattar de viktigaste nyheterna inom skatte-, redovisnings-, juridik- och personalområdet. Anmäl dig och få kostnadsfritt de senaste nyheterna.