Inför ikraftträdandet av dataskyddsförordningen (GDPR) finns det anledning att se över hur personuppgifter hanteras i din verksamhet. Genom GDPR kommer reglerna för när och hur klienters personuppgifter får behandlas kommer att ändras, och det är viktigt att du kan visa att hanteringen är laglig.
Enligt den nya förordningen måste ni kanske avbryta hantering som inte överensstämmer med GDPR (t.ex.överlämning av uppgifter till tredje part) och begränsa typen av uppgifter ni samlar in till dem ni specifikt behöver. När omfattningen av ett ärende inte är känt kan detta vara en utmaning, vilket kan innebära att ni internt behöver granska vad som samlas in av personalen så det är relevant och nödvändigt. För att hantera alla dina ärenden, kan du använda dig av ett ärendehanteringssystem.
När och hur kan min byrå hantera klienters personuppgifter?
Enligt Artikel 6 i GDPR är hantering endast godkänd om, och i den utsträckningen, minst ett av följande kriterier gäller:
- den registrerade har gett sitt samtycke,
- det är nödvändigt för att kunna uppfylla ett avtal med den registrerade eller för att ett avtal ska kunna ingås,
- det är nödvändigt för att uppfylla en rättslig skyldighet,
- det är nödvändigt för att skydda den registrerades eller en annan persons vitala intressen,
- det är nödvändigt för att kunna utföra en åtgärd som är av allmänintresse eller i samband med kontrollantens myndighetsutövning,
- det är nödvändigt i samband med legitima intressen som eftersträvas av kontrollanten eller tredje part, förutom där sådana intressen åsidosätts av den registrerades intressen, rättigheter eller friheter.
Om du förlitar dig på samtycke måste du försäkra dig om att det är begärt, erhållet, registrerat, spårat och korrigerat i enlighet med GDPR. Samtycke måste vara en frivilligt given, specifik, informerad och otvetydig indikation på individens önskemål. Individer har rätt att bli informerade om bland annat hur deras personuppgifter kommer att användas, av vem, i vilket syfte och hur länge.
För vissa kategorier av personuppgifter (t.ex. uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös tro eller filosofisk åskådning) måste samtycket uttryckligen omfatta dessa uppgifter. Det måste finnas någon form av tydligt bekräftande handling – en så kallad opt-in. Det betyder att samtycket inte enbart kan härledas av inaktivitet eller av förbockade rutor.
Samtycket kan endast användas i den utsträckning som det kan vara underförstått utifrån personens förhållande till företaget. Om ett företag till exempel tillhandahåller tjänster så kan man anta att uppgifterna får användas i syfte att kunna utföra dessa tjänster. För att få skicka reklam eller marknadsföring till kunden per mejl måste företaget däremot ha fått ett särskilt medgivande.
Dessutom, om bearbetningen sker utifrån samtycke, så måste det kunna verifieras, vilket innebär att man måste kunna tillhandahålla bevis på samtycket. I detta syfte måste dokument och samtyckesformulär vara uppdaterade och relevanta. Begäran om godkännande måste vara tydlig och otvetydig, samt fristående från andra villkor. I tillägg till detta måste man i alla lägen ha rätt att ta tillbaka sitt medgivande, och ditt system för registrering av medgivande måste vara tillräckligt flexibelt för att kunna ta bort uppgifter när detta begärs.
GDPR är alldeles för viktig för att skjuta upp till sista sekunden.