GDPR är här – de tre vanligaste frågorna kring den nya lagen

GDPR har kommit för att stanna. Vi har fått bättre skydd för vår integritet. Vi har fått en klar beskrivning av våra rättigheter. Men vet vi vad lagen innebär för våra verksamheter? Här kommer svar på tre av de vanligaste frågorna vi känner till.
Behöver vi biträdesavtal med Visma Spcs?
Svar: Ja – och det har ni redan.
Kravet på biträdesavtal är inget nytt. Det skulle man ha redan under gamla lagen, PUL. Visma Spcs har haft en sådan text inbakad i tjänsteavtalen sedan många år och nu har vi anpassat avtalen till de nya kraven.
Många av er har säkert redan godkänt de nya avtalen när ni loggat in i programmen. Andra kommer att kunna göra det vid nästa uppgradering. Våra avtal finns här.
Vi skriver aldrig några andra biträdesavtal eftersom vår text är sammanvävd med de krav vi ställer på våra underleverantörer. Det är en förutsättning för att garantera det skydd du som Personuppgiftsansvarig är skyldig att ha.
Måste jag radera gamla fakturor när någon ”vill bli glömd”?
Svar: Nej. Nej. Och återigen nej!
Senast två dagar innan GDPR trädde i kraft hörde jag i en av våra stora nyhetssändningar svaret ”Ja, då måste man radera personuppgifterna” på frågan vad man ska göra om någon begär att bli glömd. Jag undrar hur många miljoner den intervjun kommer att kosta de svenska verksamheterna i form av tid och felaktigt raderad data.
Det är en stor och komplex fråga som inte går att svara kort på och det var lite olyckligt att den ställdes när tiden att svara inte fanns.
Nu ska jag göra mig skyldig till samma sak, att försöka ge ett kort svar på en stor fråga.
Vägledande svar:
Rätten att ”bli bortglömd” gäller under några angivna förutsättningar, t ex:
- Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket.
- Om behandlingen grundar sig på berättigat intresse som den registrerade bestrider och som avgörs vara ogiltigt.
- Om personuppgifterna har behandlats olagligt, t ex om uppgifterna inte längre behövs för de ändamål som de samlades in för.
En tidigare medarbetare kan alltså inte begära att få bli bortglömd om du som arbetsgivare måste behålla personuppgifter för att du har lagen rättslig skyldighet , dvs du måste uppfylla krav i en annan lag. En kund kan inte begära att du ska radera varje spår de lämnat. Som exempel kan nämnas att allt som ingår i bokföringen ska sparas i minst 7 år efter räkenskapsårets slut enligt Bokföringslagen.
När man avgör vad som behöver tas bort ska man inte glömma sådant som bara finns som dokument, på papper eller i digitalt format. Glöm inte att kontrollera e-postsystemet.
Lagtexten finns i Artikel 17 i GDPR.
Här finns information för dig med anställda: Gallring! Lönehantering i GDPR-tider
Får man inte skicka fakturor med e-post längre?
En av våra kunder berättade att hon varit på kurs om GDPR och fått lära sig att man inte längre får skicka fakturor med e-post.
Svar: Ja, för det mesta.
Vägledning:
Tekniken som används för att skicka e-post över internet är inte säker. En enkel jämförelse är att tänka på e-post som på vykort. Det är inte ett ställe där man skriver hemligheter. Man får inte skicka ”känsliga” personuppgifter med e-post.
Lagen definierar vad som är ”känsliga uppgifter”, eller som det heter nu ”särskilda kategorier”. Kategorierna är uppgifter om:
- ras eller etniskt ursprung
- politiska åsikter, religiös eller filosofisk övertygelse
- medlemskap i fackförening
- genetiska uppgifter, biometriska uppgifter
- uppgifter om hälsa
- uppgifter om en fysisk persons sexualliv eller sexuella läggning
Dessutom finns det uppgifter som anses ”extra skyddsvärda”, t ex personnummer som ensamt ger en exakt identifiering av en person.
Vi kan ganska lätt avgöra att lönebesked inte bör skickas med e-post. Där finns i regel uppgift om frånvaro vilket kan ge en bild av personens hälsa.
Vad gäller fakturor så är det en affärshandling med vissa bestämda krav på vad den ska innehålla. Informationen är ofta triviell. Den kan innehålla personnummer, t ex för en enskild firma eller om det gäller en ROT/RUT-berättigad tjänst. Vi bedömer att sådana fakturor kan skickas med e-post så länge de inte innehåller överflödiga eller ”känsliga” uppgifter.
Om man bedriver en verksamhet där artiklarna man säljer är avslöjande så förändras läget och man bör göra en grundlig riskbedömning som man dokumenterar. Det kan till exempel gälla apoteksvaror, naturmediciner eller specialiserade sexleksaker.
Kolla in vår sida om GDPR