Allmänt om GDPR

GDPR står för General Data Protection Regulation och är en ny dataskyddsförordning från EU som kommer bli en lag i alla EU:s medlemsländer från 25 maj 2018. GDPR kommer ersätta den nuvarande lagen Personuppgiftslagen (PUL). Lagen är till för att skydda varje individs integritet och avser att modernisera, harmonisera och förstärka skyddet inom EU.

Inom varje EU-medlemsland finns en tillsynsmyndighet som kommer kontrollera detta. I Sverige heter denna myndighet Integritetskyddsmyndigheten, tidigare Datainspektionen. På deras hemsida finns mer information och hjälp som du kan ta del av för att ta reda på vad du behöver göra.

https://www.datainspektionen.se/dataskyddsreformen/

Behandling av personuppgifter
Lagen handlar hur personuppgifter ska behandlas och vad som är en personuppgift, vilket är två viktiga begrepp att förstå. Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av dessa uppgifter innebär att du genomför en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådan behandling är insamling, strukturering, lagring, bearbetning, spridning eller radering.

Känsliga personuppgifter
Det finns en speciell kategori av personuppgifter som lagen tar upp och som du som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexliv. Utgångspunkten är att det är förbjudet att behandla dessa personuppgifter, men det finns ett antal undantag där vårdgivare exempelvis har behov. I Sverige pågår en utredning kring hur dessa uppgifter hanteras och bearbetas och man ser över att ta fram en kompletterande svensk lagstiftning.

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/kansliga-personuppgifter-uppgifter-om-brott-och-personnummer/

Personuppgiftsansvarig och personuppgiftsbiträde
I behandlingen av personuppgifter finns det framförallt två roller varje roll har har olika ansvarsområden. Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medlen. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa den personuppgiftsbiträdes efterlevnad och att sätta upp rutiner kring automatisk hantering av uppgifter såsom. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för den personuppgiftsansvariges räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna. Personuppgiftsbiträden har oftast Personuppgiftsunderbiträden och för dem gäller samma regler som för ett personuppgiftsbiträde.

Ansvarig och biträde för uppgifter i MobiPlus tjänster
All behandling av personuppgifter i tjänsterna är du som kund personuppgiftsansvarig för. MobiPlus är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. MobiPlus tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet.

MobiPlus som personuppgiftsansvarig
Varje kund som gör en beställning av våra tjänster kommer på ett eller annat sätt att beröras av att personuppgifter om dem lagras. All behandling av personuppgifter om dig som kund eller användare är vi personuppgiftsansvariga över när du beställer MobiPlus tjänster eller på annat vis kontaktar oss. Hur personuppgifter där MobiPlus är personuppgiftsansvarig behandlas har vi beskrivit i vår personuppgiftsspolicy. Kontakt gällande information är support@mobiplus.se.

Grundläggande principer i GDPR
Lagen bygger på 7 grundläggande principer:

Laglighet, korrekthet och öppenhet
Ändamålsbegränsning
Uppgiftsminimering
Integritet och konfidentialitet
Ansvarsskyldighet
Korrekthet
Lagringsminimering

Vad de grundläggande principerna innebär kan man läsa om på hos datainspektionen.

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/principer-for-behandling-av-personuppgifter/

Rättsliga grunder
I uppfyllnad av principen om laglighet, korrekthet och öppenhet behöver man ha stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten. Dessa rättsliga grunder handlar om att man behöver ha ett samtycke, avtal, rättslig förpliktelse, grundläggande intressen, allmänt intresse, myndighetsutövning eller intresseavvägning för att få behandla personuppgifter. Dessutom kräver varje marknadskanal ett aktivt val för godkännande av nyttjandet ska anses korrekt. Exempelvis samlar man in e-postadresser för att kunna skicka orderbekräftelser är detta inte samma sak som att begära tillstånd för att marknadsföra. Dock kan exempelvis marknadsföringslagen ge ett sådant tillstånd under förutsättningen att en person handlat eller avgivit sitt tillstånd att ta emot nyhetsbrev.

Rättslig grund för uppgifter i MobiPlus tjänster
Vilka rättsliga grunder som finns för behandlingen av personuppgifter i MobiPlus tjänster måste varje personuppgiftsansvarig ta reda på och dokumentera. Det kan variera från fall till fall beroende på verksamhet, vilka lagar man behöver följa, om man samlar in uppgifter som krävs eller som kan vara bra att ha.

Ostrukturerat material
I och med PUL har Sverige haft ett undantag där man inte behövt tänka på hur personuppgifter behandlas, detta undantag heter “Missbruksregeln”. Det har inneburit att man har kunnat haft personuppgifter i så kallat ostrukturerat material, vilket är bland annat löptext och fritext som exempelvis dokument, e-post, hemsidor eller anteckningsfält i t.ex. kassasystem. Missbruksregeln försvinner nu i och med GDPR och innebär att du behöver kartlägga vilka personuppgifter som finns i allt ostrukturerat material och behöver börja hantera detta på samma sätt som med strukturerat material.

Back to back-avtal

Alla företag i MobiPlus koncernen har tecknat Personuppgiftsbiträdesavtal med varandra, så kallade back to back-avtal. På så sätt är data skyddat inom hela koncernen vid delning, både när MobiPlus är Personuppgiftsansvarig och när man är Personuppgiftsbiträde.

Skicka material okrypterat

GDPR lägger även högre krav gällande distribution av data. Detta gäller då även exempelvis kundregister. MobiPlus har därför lagt upp en materialuppladdare https://material.mobiplus.se för att undvika att filer skickas över e-post. På samma sätt har vi möjlighet att distribuera filer innehållandes personuppgifter till er med länkar som är skyddade med HTTPS.