Om ni ännu inte hunnit med att få allt på plats så få inte panik!
Under senast veckorna har ni förmodligen blivit mailbombade med mängder av information om organisationers nya policy för behandling av personuppgifter. Vissa har även lagt till mer hotfulla inslag om att man måste samtycka för att fortsätta använda deras tjänst, rätt eller fel kan vara svårt att avgöra men kan vara stressande för den som berörs.
Kanske ni har påbörjat eller färdigställt er kartläggning men ännu inte fått alla styrdokument på plats eller hunnit utbilda all personal. Ni kanske behöver skapa en åtgärdsplan och sätta upp riktlinjer?
Många är i samma situation och kämpar nu med att förstå reglerna och sätta upp gallringsrutiner.
En enkel regel som man måste efterleva är Rättslig grund för personuppgiftsbehandling. Ingen personuppgift får behandlas utan en laglig grund och den kräver även ett ändamål för behandling vilket kan vara ett stöd vid gallring. Men vad är då laglig grund?
Lagen anger 6 olika rättsliga grunder som måste finnas för personuppgiftsbehandling:
- Samtycke – Personuppgifter får behandlas om man har ett samtycke från den som personuppgifterna avser. Det skall vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling och att det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen. Om samtycke återkallas måste uppgifter raderas. (redan existerande samtycken kan vara ogiltiga efter att nya lagen träder i kraft)
- Avtal – Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Det krävs då att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, ex. anställningsavtal, löneberäkning, fakturering etc.
- Rättslig förpliktelse – Personuppgifter får behandlas om det är nödvändigt för att uppfylla en nationell lag, ex. Patientdatalagen, bokföringslagen, arbetsrätt etc.
- Skydd för grundläggande intressen – Personuppgifter får behandlas om detta sker i syfte att skydda en registrerad persons grundläggande intressen, ex. vid akuta vårdsituationer
- Allmänt intresse och myndighetsutövning – Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse, ex. statistiska undersökningar eller som del i myndighetsutövning ex. skatteverkets verksamhet, transportstyrelsen etc.
- Intresseavvägning – Om behandlingen av personuppgifter är nödvändig för berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre kan intresseavvägning vara en rättslig grund. Ex. arbetsgivares behandling av anhöriginformation hos anställda för att kunna kontakta anhörig vid sjukdomsfall. Detta kräver inte samtycke från den anhörige men de måste få information om att de är registrerade. (Intresseavvägning får normalt inte användas som skäl för myndigheter)
Om ni tydligt kan motivera personuppgifterna ni behandlar med en laglig grund så behöver ni inte stressa upp er i onödan. Det räcker långt och med integritetspolicy för information till registrerade på plats samt en åtgärdsplan för gallringsrutiner och riktlinjer kan ni pusta ut för en stund.
Behöver ni stöd och hjälp med att utbilda personal, att skapa styrdokument eller bara lägga upp en åtgärdsplan kontakta oss gärna så hjälper vi er!
