AMES 1
VAD ÄR EN PERSONUPPGIFT? – ADVOKATEN REDER UT BEG
REPPEN Inom EU vill man göra invånarna i medlemsländerna uppmärksamma på vilka rättigheter man har när det gäller företagens användning av ens personuppgifter. Säkerställa att man förstår följden av att lämna ifrån sig data som identifierar en som privatperson och att man har rätt att få tydlig information från företagen om vad syftet är när de vill spara informationen. SYFTET MED GDPR är att minska antalet personuppgifter som hanteras, korta ner tiden under vilken de hanteras och begränsa spridningen av dem. – Personuppgifter är värdehandlingar, säger Elisabeth Wedenberg på Maminza advokatbyrå. Och det är inte underligt att den nya förordningen kommer just nu, när information om människors liv, åsikter och förehavanden är hårdvaluta. Hon nämner direktmarknadsföring och vinklade artiklar som ett led i affärsutveckling och politiska spel. Men också fall med kapade identiteter, med skuldsättning och i vissa fall ofrivillig inblandning i olagliga verksamheter som följd. VI LÄMNAR SPÅR EFTER OSS i allt vi gör. Vad och var vi handlar, vilka sajter vi surfar på, vilka artiklar vi läser, var vi klickar och till och med var vi håller muspekaren. Information som kan användas för att sortera ut en enskild individ. – Vi svenskar har hittills varit ganska villiga att lämna ut våra personuppgifter, utan att egentligen fundera så mycket på varför, säger kollegan Jesper Vindels Grönblad. Det handlar till exempel om bonusklubbar, medlemslistor och kundregister. Tanken är nu att man ska ge personuppgifterna tillbaka till den enskilda människan, och sedan kan företagen få låna dem. Men det man lånar ut har man ju också rätt att få tillbaka. Och det ska man kunna få, utan några invändningar. (Så länge det inte föreligger andra lagkrav, som till exempel att arkivera bokföring eller anställningsavtal.) MEN VAD ÄR DÅ EN PERSONUPPGIFT? Personnummer, självklart. Och namn, adress och telefonnummer. Men personuppgifter är faktiskt all 24 information som kan identifiera en person. E-post, jobbtitel, ip-nummer, kreditkortsinformation, cookies, dna, bankkonto… Ja, listan kan göras lång. – Bilden, till exempel, är en personuppgift som anses vara särskilt känslig, och som kräver en del tanke innan man som företag eller organisation publicerar eller sparar, säger Elisabeth. Här krävs tydliga rutiner för att säkerställa att man lutar sig mot en rättslig grund för att publicera bilden. Och för att kunna ta bort den! Att utforma policys kring hur man hanterar bilder på sociala medier för sitt företag är en viktig del i GDPR-arbetet. Vilka typer av bilder förtydligar det man vill förmedla? Om det finns det människor med på bilderna, är det nödvändigt att tagga dem? Vilken rättslig grund finns för publiceringen? Ett samtycke, eller kanske ett grundläggande intresse? – GDPR är inte så svårt! menar Elisabeth. Det handlar om struktur, att ta kontroll och att lära sig tänka GDPR i allt man gör. Ställa sig frågorna i förväg och vara tydlig. – Tänk kritiskt! uppmanar Jesper. Behöver du inte spara- spara inte. Ta inte in mer uppgifter än du behöver och kartlägg hur uppgifter rör sig genom företagets olika områden. Kanske kan man begränsa vilka som får tillgång till dem. Och ha som rutin att radera när de inte behövs längre. BÅDE JESPER OCH ELISABETH tycker att det är en spännande resa att följa implementeringen av GDPR bland de svenska företagen. Och ett viktigt jobb som nu görs i att öka medvetenheten om vad personuppgifter är och hur de ska hanteras. – Tänk att få starta företag nu! säger Elisabeth. TEXT & FOTO: MIRJAM LINDAHL Att få med sig det här tänket och sättet att jobba på redan från början. Vilken fördel! Inget gammalt som bara finns där och som måste rensas på. Hon tänker bland annat på den dagen det blir dags för ett ägarbyte i verksamheten och vilken värdehöjare det måste vara att ett företag är väl inkört i GDPR-rutinen. ATT MÅNGA KANSKE tycker att det är ett stort och krångligt arbete som ligger framför dem, det förstår de båda juristerna, men betonar att det finns hjälp att få. De tipsar om att söka upp föreläsningar och informationsträffar, leta upp och läsa information på tillförlitliga sajter. – Och var inte rädd för att ställa frågor! uppmanar de. Det florerar en hel del felaktig information, så se till att du får veta vad som gäller för dig och ditt företag. Och att du förstår vad det betyder, för även enkla ord kan i juridisk mening ha fler betydelser. Som personuppgift, till exempel. n VAD BETYDER EGENLIGEN ... … PERSONUPPGIFT? Upplysning om en identifierad eller identifierbar fysisk person i livet. Exempelvis; namn, adress, telefonnummer, epost, titel, personnummer, IP-nummer, fotografi, betalkortsinformation, bankkonto, cookies med flera. … BEHANDLING? Insamling, registrering, lagring, bearbetning, ändring, läsning, spridning, radering med flera. … LAGLIG GRUND FÖR BEHANDLING? Samtycke, nödvändigt för uppfyllande av avtal, rättslig förpliktelse, skydda grundläggande intresse för fysisk person, uppgifter av allmänt intresse, intresseavvägning.