Från och med den 25 maj 2018 ska alla företag, myndigheter, föreningar etc. som behandlar personuppgifter kunna påvisa att de följer eller har planer på hur de ska följa nya reglerna i EU:s allmänna dataskyddsförordning (GDPR = General Data Protection Regulation). Avsikten är att reformen ska stärka förtroendet för hur enskilda personers personuppgifter hanteras och förenhetliga regleringen inom EU i hopp om att sporra utvecklingen av digitala tjänster. Grundtanken i förordningen handlar om att man som fysisk person ska ha omfattande rättigheter i förhållande till personuppgifter eller med andra ord alla uppgifter inklusive bilder som man kan identifieras med hjälp av.
Dataskyddsförordningen innebär inte ett förbud mot behandlingen av personuppgifter. I praktiken medför förordningen att personuppgiftsansvariga, d.v.s. den som bestämmer ändamålen och medlen för behandlingen av personuppgifter, i samband med insamlingen och användning av personuppgifter följer de principer som fastställs i förordningen. Dataskyddsförordningen kör t.ex. inte automatiskt över bokföringslagen.
En nyhet i dataskyddsförordningen är att aktörer och företag som inte följer reglerna kan bli tvungna betala en administrativ sanktionsavgift, d.v.s. en form av böter, som kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen.
Är du som företagare medveten om vilka dataskyddsregler som gäller för ditt eget lantbruks- eller trädgårdsföretags verksamhet? Har du anställda, kunder eller underleverantörer som du har personuppgifter om?
På denna sida har vi samlat en del tips och länkar till mera information. I samarbete med projektet Boden i samarbete med projektet Kursgården 2018 (YA) och Landsbygdens arbetsgivareförbund (LAF) har SLC tagit fram denna video där Kristel Nybondas, jurist på LAF, berättar om dataskyddsfrågor som landsbygdsföretagare behöver ta i beaktande i sin verksamhet.
Vad är egentligen en personuppgift?
Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet.
Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter. Ja, till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i inspelningen. Ett bolagsnummer är ofta inte en personuppgift men är det om det handlar om en enskild näringsverksamhet. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kanske inte är en personuppgift.
Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt ändamål. Spara inte personuppgifterna längre än nödvändigt.
När får personuppgifter samlas in?
Se till att du har stöd i lagen för att samla in personuppgifter.
Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”, säger förordningen. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften.
Man måste också ha stöd i förordningen för att hantera personuppgifter. Det finns några olika ”rättsliga grunder” som företag kan använda. De viktigaste är:
Rättslig förpliktelse
I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.
Avtal
Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter (men bara de uppgifter som behövs för att uppfylla avtalet).
Samtycke
Ett annat alternativ är att be personen ifråga att få registrera uppgifter om hen. Det kallas för att få personens samtycke. Ett samtycke är enligt förordningen ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.
Med andra ord: man måste få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att man sedan ska kunna ge sitt godkännande.
Intresseavvägning
Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv.
OBS! Man får dock inte skicka direktreklam till någon som sagt nej till det.
Informera mera - spara mindre
När man samlar in uppgifter om en person så måste man informera personen i fråga. I förordningen finns en lång lista över vilken information som ska ges, men mycket kort ska man tala om att man samlar in personuppgifter, vilka uppgifter det handlar om och varför man gör det. Kommer man att lämna uppgifterna vidare till andra, måste man tala om det.
En viktig regel i förordningen är att man inte får spara personuppgifter för länge. När de inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. För ett företag innebär det till exempel att uppgifter om personer som inte längre är kunder (eller leverantörer) måste tas bort från it-systemen.
Tänk också på att det kan finnas krav i annan lagstiftning som innebär att uppgifterna måste sparas en viss tid, till exempel för bokförings- och arkivändamål.
Skydda personuppgifter
Tänk på att skydda personuppgifterna som ditt företag hanterar, så att de inte stjäls eller oavsiktligt raderas eller ändras.
Ett nytt krav i förordningen är att om ni råkar ut för en ”personuppgiftsincident” så måste ni rapportera det till Dataskyddsombudsmannens byrå. En sådan incident kan till exempel vara ett usb-minne med personuppgifter som tappats bort, ett dataintrång på en av företagets servrar eller att någon anställd obehörigt tagit del av personuppgifter.
Ett tips är att se över skyddet av personuppgifterna i era it-system så att incidenter inte inträffar.
Gör ett register om uppgiftsbehandling i ditt företag
Små och medelstora företag behöver bara föra register om uppgiftsbehandlingen om den:
- är regelbunden
- är ett hot mot människors rättigheter och friheter
- gäller känsliga uppgifter eller belastningsregister
Ett register om uppgiftsbehandlingen ska innehålla följande:
- Namn och kontaktuppgifter för ditt företag
- Anledning till uppgiftsbehandlingen
- Beskrivning av kategorier av registrerade personer och personuppgifter
- Kategorier av organisationer som får uppgifterna
- Överföring av uppgifter till ett annat land eller annan organisation
- Tidsgräns för borttagning av uppgifter, om möjligt
- Beskrivning av säkerhetsåtgärder som används vid behandling, om möjligt
På Dataskyddsombudsmannens webbsidor finns mallar för register- och dataskyddsbeskrivningar som är ett bra verktyg för att samla information om hur ditt företag hanterar personuppgifter.
