GDPR
GDPR står för General Data Protection Regulation och är en ny dataskyddsförordning från EU, som kommer bli en lag i alla EU:s medlemsländer från och med den 25:e maj 2018. GDPR ersätter Personuppgiftslagen (PUL). GDPR är till för att skydda individers integritet och avser att modernisera, harmonisera och förstärka skyddet inom EU.
Inom varje EU-medlemsland finns en tillsynsmyndigheten som kommer kontrollera detta. I Sverige heter denna myndighet Integritetsskyddsmyndigheten. På deras hemsida finns mer information och hjälp som du kan ta del av för att ta reda på vad du behöver göra. https://www.imy.se
Behandling av personuppgifter
Lagen handlar om hur du ska behandla personuppgifter. Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av dessa uppgifter innebär att du genomför en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådan behandling är insamling, strukturering, lagring, bearbetning, spridning eller radering.
Känsliga personuppgifter
Det finns en speciell kategori av personuppgifter som lagen tar upp och som du som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv. Utgångspunkten är att det är förbjudet att behandla dessa personuppgifter, men det finns ett antal undantag. Läs mer om känsliga personuppgifter.
Personuppgiftsansvarig och personuppgiftsbiträde
I behandlingen av personuppgifter finns det framförallt två roller som du bör känna till och beroende på vilken roll du har finns det olika ansvarsområden. Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medlen. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa personuppgiftsbiträdets efterlevnad. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för den personuppgiftsansvariges räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna. Hur vi behandlar personuppgifter som personuppgiftsbiträde finns beskrivet i Vår roll som personuppgiftsbiträde
Ansvarig och biträde för uppgifter i våra tjänster
All behandling av personuppgifter i vår tjänst är du som kund personuppgiftsansvarig för. Educateit AB är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. Educateits tekniska och organisatoriska åtgärder finns beskrivet i dokumentet Säkerhet.
Educateit som personuppgiftsansvarig
All behandling av personuppgifter om dig som kund, användare eller deltagare på våra utbildningar är vi personuppgiftsansvariga för. Detta gäller i samband med att du beställer våra tjänster, kontaktar oss för support eller anmäler dig till någon av våra utbildningar. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vår Integritetspolicy.
Incidenthantering
Om vi misstänker eller har bevis på att det uppstått en incident i våra tjänster, t ex intrång eller programfel som gör att personuppgifter kan misstänkas hamna i orätta händer, är vi skyldiga att anmäla det till Integritetsmyndigheten.
Vid en personuppgiftsincident rapporterar vi incidenten i Integritetsskyddsmyndighetens mall. Incident och åtgärder kommuniceras också ut till berörda som drabbats. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en analys av problemet i syfte att förhindra att problemet uppstår igen.
Grundläggande principer i GDPR
Lagen bygger på 7 grundläggande principer:
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet
Vad de grundläggande principerna innebär kan du läsa om på Integritetsskyddsmyndighetens hemsida.
Rättsliga grunder
För att uppfylla principen om laglighet, korrekthet och öppenhet behöver du ha stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten. Dessa rättsliga grunder handlar om samtycke, avtal, rättslig förpliktelse, grundläggande intressen, allmänt intresse, myndighetsutövning eller intresseavvägning.
Rättslig grund för uppgifter i våra tjänster
Vilka rättsliga grunder som finns för behandlingen av personuppgifter i Educateits tjänster måste du som personuppgiftsansvarig ta reda på och dokumentera. Det kan variera från fall till fall beroende på verksamhet, vilka lagar ni behöver följa och om ni samlar in uppgifter som krävs eller som kan vara bra att ha.
Ostrukturerat material
I Personuppgiftslagen (PuL) har vi i Sverige haft en undantag där vi inte behövt tänka på hur personuppgifter behandlas, detta undantag heter “Missbruksregeln”. Det har inneburit att vi har kunnat haft personuppgifter i så kallat ostrukturerat material, vilket är löptext och fritext som exempelvis dokument, e-post, hemsidor eller anteckningsfält i system. Missbruksregeln försvinner nu i och med GDPR och innebär att du behöver kartlägga vilka personuppgifter som finns i allt ostrukturerat material och behöver börja hantera detta på samma sätt som med strukturerat material.