Information som är viktig när företag behandlar personuppgifter

Här kan du läsa om information som är viktig när företag behandlar personuppgifter. Alla företag som behandlar personuppgifter måste följa GDPR. Detsamma gäller organisationer och myndigheter, men vi har valt att fokusera på företag eftersom vi arbetar med att skriva och granska avtal till företag. Bland annat GDPR-avtal och dokument som företag behöver.

När företag behandlar personuppgifter 

Definition av personuppgifter

Om det går att identifiera en fysisk person genom en uppgift, är det en personuppgift. Namn och adress är tydliga personuppgifter. Men även bilder, ljudupptagningar eller liknande där det går att identifiera en person utgör en personuppgift. Ett organisationsnummer tillhörande ett aktiebolag är inte en personuppgift, eftersom det är ett identifikationsnummer på en juridisk person, inte en fysisk person. 

Tydliga och mindre tydliga personuppgifter samt subjektiva och objektiva personuppgifter

Det är skillnad på tydliga och mindre tydliga personuppgifter samt subjektiva och objektiva personuppgifter. 

Kort sagt är tydliga personuppgifter sådana som det går att identifiera en person direkt såsom namn och personnummer. Till skillnad från mindre tydliga personuppgifter som kan vara sådana som det går att identifiera en person genom en så kallad omvägsidentifikation. Till exempel ett spårningsnummer på ett kort där det finns en databas hos företaget med vem som är ägare av kortet. Med andra ord kanske inte den som får tillgång till kortet kan se vem det är direkt men att det finns något register som matchar kortet med ägaren. 

Subjektiva personuppgifter är sådana uppgifter som beskriver en person. Till exempel en diagnos från en läkare. Till skillnad från objektiva personuppgifter som är namn, personnummer eller liknande. 

behandlar personuppgifter personuppgiftsansvarigs räkning personuppgiftsbiträde GDPR avtalgdpr

Personuppgiftsincidenter

Definition av personuppgiftsincidenter

Om personuppgifter blir förstörda, ändrade eller om någon obehörig får åtkomst till dem, är det en personuppgiftsincident. Med andra ord är det en säkerhetsincident och det har ingen betydelse om det är avsiktligt eller oavsiktligt. 

Tre praktiska exempel på personuppgiftsincidenter

– Felskickade mejl som innehåller dokument eller liknande med personuppgifter. 

– Om filer som innehåller personuppgifter på en dator blir raderade och det inte finns någon backup. 

– När en anställd ändrar personuppgifter utan att ha fått ett tillstånd. 

Konsekvenser av personuppgiftsincidenter

Det kan till exempel leda till: 

– En ekonomisk skada för den registrerade. 

– Den registrerade kan bli utsatt för bedrägeri. 

– Konsekvensen kan bli en skadlig ryktesspridning. 

Rapportera personuppgiftsincidenter

I vissa fall ska ett företag rapportera personuppgiftsincidenter till IMY. Dessutom ska företaget vid vissa fall rapportera det till de registrerade som blivit påverkade. En anmälan till IMY ska ske om det inte är osannolikt att konsekvensen av personuppgiftsincidenten leder till en risk för fri- och rättigheterna som de fysiska personerna har. Företaget måste göra en bedömning efter incidenten och anmäla den om de kommer fram till det. Anmälan ska då ske inom 72 timmar från och med upptäckten. 

Arbeta förebyggande

När företag behandlar personuppgifter, behöver företaget analysera hur personuppgiftsincidenter kan inträffa. Dessutom ska företaget arbeta förebyggande för att det inte ska inträffa incidenter, genom att vidta rimliga organisatoriska och tekniska säkerhetsåtgärder. Till exempel genom att inrätta rutiner för att kunna upptäcka incidenter, ha anti-virusskydd och backup-lagring m.m.  

tredjeland

Överföra personuppgifter till tredjeland

Det är tillåtet att överföra personuppgifter till tredjeland i vissa fall men det är bra att tänka på att reglerna är striktare. Dessutom är det bra att se om det finns andra alternativ där företaget slipper överföra personuppgifterna till ett tredjeland. 

Definition av tredjeland

Enligt GDPR innebär ett tredjeland när personuppgifter blir överföra till ett land utanför EU/EES-området där GDPR inte gäller. Inom området där GDPR gäller får personuppgifter överföras fritt, utan några begränsningar. Därför kan ett företag i Sverige till exempel använda en tjänst från Irland för att lagra personuppgifter. Det är vanligt att stora internationella företag som inte är från EU/EES-länderna har delar av sin verksamhet på Irland av den anledningen samt att det är engelsktalande, vilket kan underlätta för internationella aktörer. 

Praktiska exempel

– När företag använder en molntjänst för att lagra personuppgifter som är från USA. 

– Vid överföring genom e-post till något mottagare utanför EU/EES-länderna av ett dokument eller liknande som innehåller personuppgifter. 

– Om någon får läsbehörighet till personuppgifter och befinner sig utanför EU/EES-länderna. 

Adekvat skyddsnivå

Adekvat skyddsnivå innebär att EU-kommissionen fattar ett beslut om att ett tredje land har en tillräckligt hög skyddsnivå att det är tillåtet att överföra personuppgifter dit på samma sätt som inom EU/EES-länderna. Dessutom kan det innefatta ett visst territorium eller en internationell organisation istället för ett helt land. Flera faktorer spelar in i bedömningen om ett land har adekvat skyddsnivå såsom lagar och internationella åtaganden. Detsamma gäller vilka möjligheter registrerade har att pröva en behandling rättsligt och huruvida landet respekterar de mänskliga rättigheterna. Länderna måste också ha oberoende tillsynsmyndigheter. Observera att företag inte kan göra en bedömning om landet har adekvat skyddsnivå utan enbart EU-kommisionen. 

Länder som har adekvat skyddsnivå
(uppdaterat 4 juli 2022)

– Andorra 

– Argentina 

– Bailiwick of Guernsey 

– Färöarna 

– Isle om Man 

– Israel 

– Japan 

– Jersey 

– Nya Zeeland 

– Schweiz 

– Storbritanien

– Sydkorea 

– Uruguay 

Observera att USA inte har adekvat skyddsnivå. 

Särskilda situationer

Om ett land inte har adekvat skyddsnivå, bör företaget analysera och tänka noggrant om det är nödvändigt med överföringen och om det finns andra bättre alternativ. Däremot är det tillåtet i vissa situationer. Frågor att ställa sig vid en analys: 

– Är överföringen nödvändig?

– Finns det andra alternativ?

– Vilka risker medför behandlingen?

Exempel på när det är tillåtet att överföra personuppgifter till tredjeland

– Om företaget får ett uttryckligt samtycke från den registrerade. Dessutom måste företaget informera om riskerna som det medför när landet inte har adekvat skyddsnivå, 

– När det är nödvändigt för att fullgöra ett avtal. Detsamma gäller när om den registrerade begär att företaget genomför en åtgärd inför ett avtal, 

– Om det är nödvändigt för att försvara rättsliga anspråk, 

– När det enbart är ett enstaka tillfälle, 

– I fall att antalet registrerade är begränsade, 

– Om företaget gjort en intresseavvägning och företagets intresse väger högre än den registrerade. Vid sådana fall ska företaget även informera IMY om överföringen. Detsamma gäller den registrerade. 

När får företag överföra personuppgifter till tredjeland?

– När EU-kommissionen har fattat ett beslut att ett land har adekvat skyddsnivå, 

– Om företaget har vidtagit lämpliga skyddsåtgärder. Exempelvis bindande företagsbestämmelser eller standardavtalsklausuler, 

– Vid vissa enstaka fall och särskilda situationer. 

Rulla till toppen
Call Now Button