Tekniska krav

Måste mitt system hålla reda på den lagliga grunden för lagring/behandling av varje personuppgift?

Svar: All lagring/behandling av personuppgifter måste alltid vara kopplad till någon av laglig grund. Om all lagring/behandling faller under samma lagliga grund och den lagliga grunden inte är ”samtycke”, så är det tänkbart att systemet inte behöver ha en explicit koppling till den lagliga grunden. Det ska dock alltid gå att besvara frågorna:

• Varför får precis den här enskilda personuppgiften lagras?
• På vilka sätt får vi använda/behandla precis den här enskilda personuppgiften?

Måste mitt system hålla personuppgifter uppdaterade?

Svar: Ja. Dataskyddsförordningen kräver att personuppgifter hålls korrekta och om nödvändigt uppdaterade.

Hur långt skyldigheten att hålla uppgifterna gäller beror på omständigheterna. I lagtexten står:

”Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).”

Måste mitt system hålla reda på var personuppgifter kommer ifrån, och hur de uppdaterats?

Svar: Ja, ditt system måste hålla reda på var personuppgifter kommer ifrån, och hur de uppdaterats.

Detta står inte uttryckligen i förordningen, men det är väldigt svårt att se hur du kan bevisa att personuppgifterna du ansvarar för är korrekta (vilket GDPR kräver) om du inte kan visa var de kommer ifrån och hur de uppdaterats.

Måste jag gallra bort uppgifter när jag inte längre har något samtycke att lagra dem?

Svar: Har du ingen laglig grund för att behålla personuppgifter, så måste du ta bort dem efter en ”rimlig” karensperiod .

Detta kan ske antingen genom radering eller anonymisering. Observera att det kan finnas laglig grund att behålla uppgifter även när det saknas samtycke. Den som har en obetald faktura kan exempelvis inte kräva att man tar bort deras uppgifter.

Har privatpersoner rätt att kräva att få ut all sin information på maskinläsbart format?

Svar: Ja, privatpersoner har rätt att kräva att få ut all sin information på maskinläsbart format. Denna rättighet kallas ”Portabilitet”.

Dataskyddsförordningen säger att personuppgifter som personen själv försett din organisation med ska kunna lämnas ut på ett ”strukturerat, vedertaget och maskinläsbart” sätt. Rätten att få ut information verkar dock kunna omfatta annan information än den som personen själv lämnat. Enligt skäl 68 i förordningens inledning så gäller rättigheten att få ut informationen också om ”behandlingen är nödvändig för att ett avtal ska kunna genomföras”. En rimlig tolkning av detta är att exempelvis förbrukningshistorik (samtalshistorik hos en teleoperatör, elförbrukning hos en el-leverantör…) skulle kunna ingå i den information som privatpersoner har rätt att få utlämnad.

Rätten till portabilitetsutdrag gäller bara när den lagliga grunden för behandling är något av:

• Avtal eller
• Samtycke

Vad är ”privacy by design”?

"Privacy by design" kan översättas med inbyggd integritet och innebär i korthet att system ska designas för att:

• samla in så få uppgifter som möjligt (bara sådana personuppgifter som är nödvändiga för syftet!)
• behålla uppgifter så kort tid som möjligt (uppgifter ska raderas/anonymiseras så fort behovet av identifiering upphört)
• så få användare som möjligt ska ha tillgång till personuppgifter (bara användare som har en yrkesmässig anledning!)
• uppgifter ska kunna skyddas under hela sin livscykel (insamling, transport, säkerhetskopiering, skrotning av lagringsmedia mm)

Måste mitt system hålla reda på vilka parter som hämtat personuppgifter från det?

Svar: Om ditt system lämnar ut personuppgifter till ett annat system och om det är möjligt att utan ”oproportionerlig ansträngning” skicka uppdateringar om ändringar eller radering så ska ditt system skicka uppdateringar. I det läget kan ditt system behöva hålla reda på vilka som tidigare tagit emot uppgifter, så att det kan skicka uppdateringar. 

Måste mitt system kunna lämna ut personuppgifter på begäran?

Svar: Ja. Registrerade personer rätt att få ut all information som lagrats om dem (utom när det råder sekretess). Den registrerade har rätt att begära att få ut informationen i elektroniskt format.

Vilka rättigheter ger dataskyddsförordningen privatpersoner?

Svar: Dataskyddsförordningen ger registrerade personer en mängd rättigheter som din organisation (eller dina system) måste kunna hantera. De viktigaste rättigheterna handlar om kontroll över vilken information som får lagras och hur informationen får användas.

Registrerades personer har enligt dataskyddsförordningen/GDPR rätt till:

• Information (om behandlingen)
• Tillgång (till registrerad information)
• Rättelse (av grunduppgifter)
• Radering (rätt att bli struken, om det inte längre finns behov av uppgifterna)
• Begränsning av behandling (”frys mina uppgifter!”)
• Dataportabilitet (rätt att få ut uppgifter på maskinläsbart format)
• Att göra invändningar (=rätt att ifrågasätta användning av uppgifter. Exempel: rätt att slippa marknadsföring.)
• Rättigheter kopplade till automatiserat beslutsfattande (framförallt: rätt att få information om automatiserad behandling)

Alla rättigheter är inte nya, men kraven på att ha färdiga rutiner på plats för dem skärpts väsentligt när dataskyddsförordningen GDPR träder i kraft.