Hoppa till sidans innehåll

Grunderna i dataskyddsförordningen, GDPR

Oavsett vilken roll du har eller vilka arbetsuppgifter du sysslar med så påverkar dataskyddsförordningen din arbetsdag. Guiden ger dig grundläggande kunskaper om GDPR och hur regelverket påverkar dig och din organisations rutiner.

1: Men vad är GDPR?

GDPR är avgörande för den fortsatta digitaliseringen av våra verksamheter. Men vad innebär regelverket? På drygt en minut får du en sammanfattning av dataskyddsförordningen och hur GDPR påverkar din organisation.

GDPR handlar om integritet och stärker alltså skyddet för våra personuppgifter. Något som är positivt och viktigt för fortsatt digitalisering. Men det innebär också en del förändringar; nya arbetssätt och rutiner. Känns det läskigt och svårt? Lugn, nu går vi igenom detta steg för steg och förklarar vad du bör reagera och agera på!

2: Vad måste jag göra?

Nu vet du vad GDPR innebär, men vad ska du agera på? Hur påverkas ditt dagliga arbete?

Även om GDPR till största del berör de som jobbar med rättsliga frågor eller it-säkerhet innebär lagändringen förändrade arbetsrutiner för alla. Denna korta film förklarar vad du, oavsett titel, roll eller arbetsuppgifter, måste förstå och agera på.

Film på drygt en minut som beskriver hur du måste agera

Vad är mitt ansvar?

  1. Ta reda på vem som är koordinator eller samordnare åt personuppgiftsansvarig (kallas ibland PUA) och vem som är dataskyddsombud (kallas ibland DSO). Vid felhantering och incidenter är det bråttom och det är därför viktigt att du vet vem du ska kontakta.
  2. Ta reda på din organisations rutiner.
  3. Gå igenom vilka personuppgifter som du hanterar. Följer du rutinerna? Om inte måste du agera! Vid osäkerhet kontakta samordnaren/koordinatorn i din organisation och rådfråga.

Riktlinjer om du hanterar personuppgifter

Ibland måste du hantera personuppgifter och det är helt okej. Men här är 3 riktlinjer du måste följa:

  1. Låta bli att samla in, använda eller lagra personuppgifter om du inte behöver det.
  2. Ta bort så många personliga identifierare som möjligt.
  3. Radera uppgifterna så snart aktiviteten eller syftet för att du samlade in uppgifterna är slut enligt din organisations rutiner.

Följ alltid din organisations riktlinjer när det kommer till att behandla personuppgifter. Är du osäker? Fråga din organisations samordnare eller koordinator om råd.

3: Vad mer behöver jag veta?

Nu kan du grunderna i dataskyddsförordningen och vet vad du bör agera på. Här kommer fler råd och tips på hur du bör tänka och göra i olika situationer.

  • En personuppgift är mer än vad du tror

    En personuppgift är:

    All slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet.

    Exempel på personuppgifter

    • personnamn
    • nummer
    • bild
    • röstinspelning
    • e-postadress
    • IP-nummer

  • Hur vet jag när jag får behandla eller hantera en personuppgift?

    Om dessa steg efterföljs får du behandla personuppgifter:

    • Det är nödvändigt att samla in personuppgifterna.
    • Det finns ett syfte eller ändamål med personuppgifterna.
    • Syftet eller ändamålet med personuppgifterna får inte ändras.
    • Du får inte spara personuppgifterna längre än nödvändigt.
    • Du måste kunna visa upp att dessa principerna följs.

    Din organisation ska ha rutiner på hur du ska behandla/hantera personuppgifter och dessa rutiner måste du följa.

    Begreppet behandling innefattar:

    • Insamling och registrering.
    • Organisering, strukturering och lagring.
    • Bearbetning och ändring.
    • Framtagning och läsning.
    • Användning och utlämning.
    • Justering och sammanförande.
    • Begränsning, radering och förstöring.

  • Vad är en känslig personuppgift?

    En känslig personuppgifter kan vara:

    • Ras eller etniskt ursprung.
    • Politiska åsikter.
    • Religiös eller filosofisk övertygelse.
    • Medlemskap i fackförening.
    • Personuppgifter som rör hälsa eller sexualliv.
    • Biometriska data, exempelvis fingeravtryck, iris eller röst.

    Känsliga personuppgifter och behandling av sådana uppgifter är föremål för strängare regler eftersom det leder till större konsekvenser om de hanteras fel.

  • Får jag behandla en känslig personuppgift?

    Huvudregeln för behandling av känsliga personuppgifter är att det är förbjudet att behandla dessa.

    Det finns dock undantag från förbudet, vilket omfattar mycket av den behandling som utförs av offentliga myndigheter.

  • Jag ska behandla en ny personuppgift – vad gör jag?

    1. Får du behandla personuppgiften? Se frågan: Hur vet jag när jag får behandla eller hantera en personuppgift?
    2. Kontakta din organisations samordnare eller koordinator och berätta att du kommer behandla nya personuppgifter och fråga efter klartecken enligt din organisations riktlinjer.

  • Vad gäller kring radering av personuppgifter?

    Om det inte längre finns något syfte eller ändamål för att hantera personuppgiften bör du radera den. Det finns två sätt att ta bort personuppgifter. Du kan antingen avidentifiera eller förstöra uppgifterna:

    Avidentifiera

    Att avidentifiera personuppgifterna innebär att du avlägsnar alla identifieringsmöjligheter så att uppgifterna inte längre går att kopplas samman med en fysisk person.

    Förstöra

    Att förstöra personuppgifterna innebär att du ser till att de inte går att återskapas. Det är viktigt att du vet och förstår vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras. Det är till exempel inte tillräckligt att radera filen med personuppgifterna då filen exempelvis kan ligga kvar i datorns papperskorg.

  • Någon vill bli raderad – hur gör jag?

    Eftersom du jobbar inom offentlig verksamhet gäller inte alltid raderingsprincipen och det räcker att du följer dessa steg:

    1. Läs igenom din organisation riktlinjer kring radering. Fråga din chef om du inte hittar riktlinjerna.
    2. Lämna in önskemålet till samordnaren eller koordinatorn, förslagsvis genom att fylla i en digital blankett.
    3. Samordnaren eller koordinatorn tar emot önskemål, följer upp och återkopplar till medborgaren samt återkommer till dig om du ska radera uppgiften.

  • Någon begär ut registerutdrag – vad gör jag?

    Alla har rätt att begära ut vad som finns registrerat om hen. Det kallas att man begär ut ett registerutdrag. Att få ut registerutdrag ska vara kostnadsfritt men om den registrerade återkommer, och därmed så att säga missbrukar sin exklusiva rätt, får den personuppgiftsansvarige ta ut en kostnad.

    Så här hanterar du begäran om registerutdrag:

    1. Följ din organisations riktlinjer kring registerutdrag. Riktlinjerna ska vara enkelt tillgängliga för alla anställda, fråga annars din chef.
    2. Lämna in önskemålet till samordnaren/koordinatorn, förslagsvis genom att fylla i en digital blankett. Detta bör ske så snabbt som möjligt!
    3. Samordnaren/koordinatorn tar emot önskemålet och återkopplar till den registrerade.

  • Jag upptäcker en felaktig behandling – vad gör jag?

    Märker du att organisationen behandlar en personuppgift ovarsamt eller felaktigt måste du anmäla det!

    Detta gör du genom att kontakta samordnaren eller koordinatorn enligt din organisations rutiner. Rutinerna ska vara enkelt tillgängliga för alla medarbetare, fråga annars din chef. Samordnaren eller koordinatorn tar sedan ärendet vidare och återkopplar till de som är berörda.

Publiceringsinformation

Innehåll på sidan

Till toppen av sidan