Hem 08-599 299 00 Växeln är öppen vardagar 8-17
Kontakta oss Fler kontaktuppgifter

GDPR – Frågor och svar

Tillbaka till GDPR på Humana

Dataskyddsförordningen

  1. Dataskyddsförordningen (General data protection regulation, förkortat GDPR) ersätter personuppgiftslagen, PUL den 25 maj 2018. GDPR innehåller rättigheter som anpassats till dagens informationssamhälle. Det innebär att vi måste veta vilka personuppgifter vi behandlar (exempel: lagrar, bearbetar, gallrar), varifrån de samlades in och till vem uppgifterna har lämnats ut. Genom att dokumentera behandlingen kan Humana visa att förordningens bestämmelser följs. Det allra mesta i dataskyddsförordningen är dock inga nyheter – merparten gäller redan i personuppgiftslagen, PUL. 

  2. Dataskyddsförordningen träder i kraft den 25 maj 2018.

  3. Det är samma regler för alla personuppgifter. I PUL finns den så kallade missbruksregeln som innebär enklare regler för personuppgifter i ostrukturerat material. När dataskyddsförordningen börjar gälla försvinner missbruksregeln och samma regler gäller för alla personuppgifter.

    Ostrukturerat material är bland annat bilder, filmer, ljud, löpande text oavsett om det är på hemsida, en Word-fil på datorn eller i e-post.

  4. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

  5. Personuppgiftsbiträde är en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning

Dataskyddsombud

  1. Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud (DSO. Engelska: data protection officer, förkortat DPO). Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.

  2. 1. Dataskyddsombudet ska ha minst följande uppgifter:

    • a) Att informera och ge råd till personuppgiftsansvarige, personuppgiftsbiträdet och till anställda
    • b) Att övervaka att dataskyddsförordningen följs
    • c) Att ge råd vid konsekvensbedömning av behandlingar
    • d) Att samarbeta med tillsynsmyndigheten.
    • e) Att fungera som kontaktpunkt för tillsynsmyndigheten

    2. Dataskyddsombudet ska i sitt uppdrag ta hänsyn till de risker som är förknippade med behandlingen

  3. Humana har ett dataskyddsombud för varje land (Norge, Sverige och Finland)

    Norge: Kenneth Bredsten
    Sverige: Bengt Kjällman, sammankallande för gruppen
    Finland: Jukka Mäkinen

Personuppgifter

  1. Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är per­sonnummer, namn och adress. Även foton på personer klassas som personuppgifter. Ja, till och med ljudinspelningar som lag­ras elektroniskt kan vara personuppgifter även om det inte nämns några namn i in­spelningen. Ett bolagsnummer är ofta inte en personuppgift men är det om det hand­lar om en enskild näringsverksamhet. Re­gistreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kan­ske inte är en personuppgift.

  2. Personuppgifter får bara samlas in för ”särskilda, uttryckligt an­givna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”, säger förordningen. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften. Ett företag kan till exempel utrus­ta sina bilar med speciell GPS-utrustning som används för elektro­niska körjournaler för att förenkla redovisningen till Skatteverket. Men, arbetsgivare får inte använda uppgifterna som GPS:en samlar in för att kontrollera hur långa raster de anställda tar.

    Man måste också ha stöd i förordningen för att hantera personupp­gifter.

  3. För att få behandla personuppgifter ska samtliga grundläggande principer nedan vara uppfyllda:

    • Laglighet, korrekthet och öppenhet
    • Ändamålsbegränsning
    • Uppgiftsminimering
    • Korrekthet
    • Lagringsminimering
    • Integritet och konfidentialitet
    • Ansvarsskyldighet

    Se rutin: Behandling av personuppgifter

  4. Med förordningen följer krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Med vilket rättsligt grund vi behandlar personuppgifter ska dokumenteras i en registerförteckning.

    • Samtycke
    • Avtal
    • Rättslig förpliktelse
    • Uppgift av allmänt intresse eller som led i myndighetsutövning
    • Intresseavvägning

    Se rutin: Behandling av personuppgifter

  5. Nej, den rättsliga grunden för vår kärnverksamhet är rättslig förpliktelse. Det finns ett par olika rättsliga grunder som företag kan använda.

    De vanligaste är:

    • Rättslig förpliktelse
    • Avtal
    • Intresseavvägning
    • Samtycke
  6. I vissa fall är företag skyldiga att enligt lag registrera personuppgifter, som exempelvis rapportera löner och skatter, spara löneuppgifter och anställningstid för anställda, även efter att de har slutat sin anställning, uppgifter om konton och transaktioner, föra personakt och patientjournal samt sätta betyg.

  7. Avtalet ska vara med den registrerade, t.ex. privatperson eller enskild firma, inte en juridisk person. Anställningsavtal, ansökningshandlingar som föregår ett anställningsavtal, offerter, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och behandla personuppgifter (men bara de uppgifter som behövs för att uppfylla avtalet).

  8. Man kan be personen ifråga att få registrera upp­gifter om honom/henne. Det innebär att få personens samtycke. Detta kan göras när personen i fråga registrerar sig för nyhetsutskick, vill att vi kontaktar personen i fråga, deltar i evenemang, kundregister, lista över kursdeltagare eller medverkar i reklamsammanhang. Samtycket kan lämnas i form av en ruta som denne ska kryssa i när registrering sker.

  9. Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv. Företag kan i många fall använda intresseavvägning som grund för att hantera personuppgifter som används vid marknadsföring och direktreklam.
    OBS! Man får inte skicka direktreklam till någon som sagt nej till det. Exempel på intresseavvägning är E-post hantering, register med potentiella kunder, uppgifter om kontaktpersoner på företag och myndigheter man har en kund/myndighetsrelation med, information om chefer på hemsidan.

  10. Vid osäkerhet kontakta dataskyddsombudet.

  11. Uppgifter om avlidna är inte personuppgifter. De kan dock utgöra personuppgifter för nu levande personer, till exempel anhöriga, såvitt beträffar känsligare uppgifter, bland annat ärftliga sjukdomar som lett till dödsfallet eller brott som den avlidne begått. Såvida inga sådana uppgifter finns gäller inte GDPR.

Känsliga personuppgifter

  1. I dataskyddsförordningen skiljer man mellan "vanliga" personuppgifter och känsliga personuppgifter. Känsliga uppgifter är sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan till exempel vara sjukfrånvaro, graviditet och läkarbesök. Normalt är det förbjudet att hantera sådana personuppgifter men det finns undantag från förbudet. Känsliga uppgifter måste också skyddas mer än andra uppgifter. Dataskyddsförordningen innehåller vissa undantag från förbudet.

  2. Ja vi har rättsligt stöd att behandla känsliga personuppgifter inom socialtjänst samt hälso- och sjukvård men även inom personaladministration såsom facklig tillhörighet. Till exempel ger lag om behandling av personuppgifter inom socialtjänsten lagstöd för behandling av känsliga personuppgifter.

Behandling av personuppgifter

  1. Ja. att föra personakt/patientjournal är författningsreglerat i svensk lag.

  2. Ja, med anställningsavtal som grund kan en stor del av den anställdes personuppgifter inom verksamheten behandlas lagligt, till exempel ekonomi-och löneadministration.

  3. Man bör fundera på om man bör inhämta samtycke från den boende att få visa deras namn i entrén till boendet. Man kan överväga om det räcker med förnamn och att namnen endast visas på dörren till rummet (uppgiftsminimering).

  4. I ett kundregister vill man kanske registrera fler uppgifter om kunderna än de som behövs för att uppfylla avtalet med kunden. Spelar kun­den golf? Hur många barn har kunden? Har kunden allergier som kan vara bra att känna till innan affärslunchen? För att få registrera den typen av uppgifter krävs normalt att kunden ger sitt samtycke, det vill säga att kunden först får information om att ni kommer att spara den typen av uppgifter och varför, och sedan godkänner att ni gör det. Men, man måste också se till att uppgifterna är relevanta för kundrelationen. Annars får de inte registreras.

  5. Personuppgiftsbehandlingar som inte är automatiserade, eller en samling av personuppgifter som inte kan sammanställas eller sökas utifrån olika kriterier, omfattas inte av dataskyddsförordningen eller annan registerförfattning.

    Pärmen med personuppgifter omfattas alltså inte av GDPR men om uppgifterna är ett förstadium till en helt eller delvis automatiserad behandling omfattas de av GDPR.

Information till registrerad

  1. Ja. När vi samlar in uppgifter om en person så måste vi informera personen i fråga. I förordningen finns en lång lista över vil­ken information som ska ges.I korthet innebär det att ni ska tala om att ni samlar in person­uppgifter, vilka uppgifter det handlar om och varför ni gör det. Kommer ni att lämna uppgifterna vidare till andra, måste ni tala om det.

  2. Om man samlar in uppgifter från tredje part så har den personuppgiftsansvarige en skyldighet att inom en månad informera de registrerade som är berörda (art. 14). Man behöver dock inte informera den registrerade om denne känner till behandlingen, eller om det skulle innebära en oproportionerlig arbetsinsats att informera eller om det är omöjligt.

  3. De viktigaste rättigheterna för den registrerade är:

    • Rätt till information
    • Rätt till rättelse
    • Rätt till radering ("rätten att bli bortglömd")
    • Rätt till begränsning av behandling
    • Dataportabilitet
    • Rätt att göra invändningar
    • Automatiserat beslutsfattande, inbegripet profilering
  4. Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till den registrerade. Bland annat kommer vi att behöva informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten (som i Sverige är Datainspektionen) om man anser att ens personuppgifter har hanterats felaktigt av oss. Viktigt i sammanhanget är att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.

  5. Den registrerade har rätt att vända sig till en verksamhet inom Humana som behandlar personuppgifter och be att få felaktiga uppgifter rättade. Det innebär också att den registrerade har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen.

  6. Den registrerade har rätt att vända sig till Humana och be att uppgifterna som avser den registrerade raderas. Det finns dock undantag från rätten till radering om det är nödvändigt att behandla uppgifterna för att tillgodose andra viktiga rättigheter som att uppfylla en rättslig förpliktelse.

  7. Registrerade har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

  8. Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i en annan social medietjänst (rätten till dataportabilitet). Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att denna behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana personuppgifter som den registrerade själv har lämnat.

  9. En registrerad har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter. Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.

    Om den enskilde invänder mot behandlingen i sådana fall får den personuppgiftsansvarige endast fortsätta att behandla uppgifterna om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

    Den enskilde har alltid rätt att invända mot att hans eller hennes personuppgifter används för direkt marknadsföring. En sådan invändning kan göras när som helst. Görs en invändning mot direkt marknadsföring, får personuppgifterna inte längre behandlas för sådana ändamål.

  10. Den registrerade har rätt att inte få ett beslut som fattats automatiskt (utan att någon människa är inblandad) om beslutet kan ha rättsliga följder för den enskilde.

    Automatiserat beslutsfattande kan till exempel vara ett automatiserat nekande besked från e-rekrytering via internet utan personlig kontakt. Profilering innebär automatisk behandling av personuppgifter för att bedöma personliga egenskaper.

Personuppgiftsregister

  1. Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen.

  2. Hos en personuppgiftsansvarig ska registret innehålla följande uppgifter:

    • Namn och kontaktuppgifter på den personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
    • Ändamålen med behandlingen.
    • En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter.
    • De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
    • I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
    • Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
    • Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Registerutdrag

  1. Till dataskyddsombudet

  2. Det ska ske kostnadsfritt en gång per kalenderår, men om registrerad återkommer och därmed så att säga missbrukar sin exklusiva rätt, får den personuppgiftsansvarige ta ut en administrativ kostnad eller helt enkelt neka utlämnande.

  3. Finns uppgifter i löpande text ska den registrerade få en kopia på dem. Det finns dock undantag från skyldigheten att utge registerutdrag, till exempel om utlämnandet inverkar menligt på andras rättigheter och friheter och om begäran är orimlig (art. 12.5). Det sistnämnda kan aktualiseras för personuppgifter i löpande text.

  4. Detta beror på om vi pratar om manuella anteckningar eller automatiserade anteckningar. I det senare fallet ska laglig grund finnas och dataskyddsprinciperna gäller, det vill säga ja det gäller även stöd- eller minnesanteckningar

Samtycke

  1. Ett giltigt samtycke enligt dataskyddsförordningen måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats.

  2. Nej det är rättslig förpliktelse som gäller för behandling av klient/kund/patientuppgifter.

  3. Nej. Det finns ett undantag från regeln att den enskilde kan samtycka till all slags behandling av personuppgifter. I dataskyddsförordningen finns ett förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar bland annat brott och domar i brottmål. Det förbudet kan inte upphävas genom samtycke från den registrerade. Den som vill behandla sådana uppgifter måste hitta en annan grund för behandlingen.

  4. Arbetstagare befinner sig ofta i en beroendeställning till arbetsgivaren. Behandling av personuppgifter i arbetslivet med stöd av samtycke bör därför begränsas till sådana situationer där arbetstagaren har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne.

  5. Ja, se exempel nedan

    Bolaget AB
    Storgatan 5
    102 99 Storstaden
    tel. 08-123 456
    info@bolaget.se
    org.nr. 1234567890

    Bolaget AB skulle vilja att du lämnar vissa uppgifter om dig själv till bolaget. Vi skulle vilja behandla personuppgifter om dig för att få en bild av hur du och andra svenskar brukar tillbringa er lediga tid för att på så sätt kunna utveckla nya typer av fritidstjänster.

    De uppgifter vi avser att samla in och behandla är namn, ålder, adress, civilstånd, antal barn, barnens ålder, familjens disponibla inkomst efter skatt, förmögenhet, bostadsförhållanden, innehav av fritidsfastighet, innehav av bil och båt, samt uppgifter om hur du brukar tillbringa din fritid.

    Du avgör själv om du vill lämna några uppgifter till oss. Uppgifterna kommer endast att behandlas av oss inom företaget. Avidentifierade uppgifter, som inte går att härleda till en individ, kan dock komma att lämnas ut till externa mottagare såsom företag inom rese-, turist-, hotell och fritidsartikelbranschen.

    Du har enligt dataskyddsförordningen rätt att gratis, en gång per kalenderår, efter skriftligt undertecknad ansökan ställd till oss, få besked om vilka personuppgifter om dig som vi behandlar och hur vi behandlar dessa. Du har också rätt att begära rättelse i fråga om personuppgifter som vi behandlar om dig.

    Jag samtycker till att Bolaget AB behandlar personuppgifter om mig i enlighet med det ovanstående.

    .............................................
    Ort och datum

    .............................................
    Namn

    -------

Skydd av personuppgifter

  1. När vi behandlar personuppgifter ska vi vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i förordningen både när vi fattar beslut om hur behandlingen ska genomföras och under hela den fortsatta behandlingen.

  2. Det innebär att man ska logga in två gånger i samma system på olika sätt, till exempel först med användarnamn och lösenord och sedan få en verifieringskod för ytterligare en inloggning. Enkelt uttryck kan man förklara det med att du måste ha två olika nycklar till två olika lås i samma dörr, till exempel en tillhållarnyckel och en cylindernyckel för att öppna dörren till ditt hem (IT-systemet).

  3. Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker för enskilda. Om vår organisation avser att utföra en riskfylld personuppgiftsbehandling måste vi först göra en analys av vilka konsekvenser behandlingen kan få för enskilda. Dataskyddsombud skall alltid underrättas vid ändring eller utförande av behandling av register innehållande personuppgifter.

  4. Filer som ska skickas med e-post ska inte lösenordskyddas. Använd krypterad e-post istället.

  5. Filer som ska skickas med e-post ska inte lösenordskyddas. Använd krypterad e-post istället.

     


  6. Filer som ska skickas med e-post ska inte lösenordskyddas. Använd krypterad e-post istället.

Dataportabilitet

  1. Dataskyddsförordningen säger att personuppgifter som personen själv försett din organisation med ska kunna lämnas ut på ett ”strukturerat, vedertaget och maskinläsbart” sätt. Rätten att få ut information kan dock omfatta annan information än den som personen själv lämnat. Att få ut i maskinläsbart format gäller endast om det är möjligt ur teknisk synpunkt.

    Rätten till portabilitetsutdrag gäller bara när den lagliga grunden för behandling är:

    • Avtal
    • Samtycke

Regelverk

    • Dataskyddsförordningen (GDPR)
    • Lag om behandling av personuppgifter inom socialtjänsten (SoL PUL)
    • Förordning om behandling av personuppgifter inom socialtjänsten (SoL PULF)
    • Journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)
    • Patientdatalag (2008:355)
    • Arbetsmiljölagen (AML)

GDPR i förhållande till andra lagar

  1. GDPR tar inte över reglerna med krav på bevarande av information såsom till exempel Socialtjänstlagen, Hälso- och sjukvårdslagen och Bokföringslagen utan kompletterar den. Bevarandetider enligt lagarna gäller alltså fortfarande och ni kan fortsätta följa rutinerna. Om något ändras i lag så ändras också informationen i rutinerna. Vid en kollision mellan GDPR och nationell reglering har GDPR företräde

  2. Lagen kompletterar GDPR, den tar inte över GDPR, och ger lagstöd för behandling av bland annat känsliga personuppgifter. Vid en kollision mellan GDPR och nationell reglering har GDPR företräde. En utredning har säkerställt att bland annat SoLPUL är ”kompatibel” med GDPR.

Sanktioner

  1. En nyhet i dataskyddsförordningen är att Data­inspektionen kan besluta att ett företag som inte följer reglerna i förordningen ska betala en ad­ministrativ sanktionsavgift, vilket är en form av böter. Sanktionsavgiften kan vara upp till 20 mil­joner euro eller fyra procent av den globala års­omsättningen.

  2. Nej. Datainspektionen delar normalt ut en varning eller reprimand först. Om vi därefter inte vidtar åtgärder kan böter utdelas.

    Det finns flera sanktioner som tillsynsmyndigheten kan tillämpa.

    1. Varning
    2. Reprimand
    3. Indragen rätt till behandling av personuppgifter
    4. Böter

Anställda

  1. Med stöd av anställningsavtalet kan arbetsgivare behandla personuppgifter för syften som är förknippade med anställningsförhållandet, till exempel löne- och ekonomiadministration.

    En ytterligare rättslig grund inom arbetslivet är "intresseavvägning". En intresseavvägning innebär att arbetsgivaren gör en avvägning mellan behovet eller nödvändigheten av att få behandla personuppgifter, och den andra sidan skyddet för den anställdes personliga integritet. Visar denna intresseavvägning att arbetsgivaren har berättigade skäl som är "starkare" än den enskildes skäl mot en personuppgiftsbehandling, får arbetsgivaren anses ha en rättslig grund att stödja personuppgiftsbehandlingen på. Som exempel kan nämnas utlämnande av anställdas uppgifter till friskvårdsföretag eller hantering av anställdas e-post som inte kan hänföras till någon av de andra lagliga grunderna.

Personuppgiftsbiträdesavtal

  1. Det beror på. Om inte leverantören tillhandahåller support och har åtkomst på distans till systemet, till exempel till medarbetarnas skrivbordsytor krävs inget avtal. Om leverantören tillhandahåller support och har åtkomst på distans till systemet, då ska personuppgiftsbiträdesavtal tecknas.

  2. Det gör den som är personuppgiftsansvarig, till exempel VD för bolaget avtalet avser. Tänk på att Humana är en koncern med många bolag och koncernens VD inte alltid är den som ska skriva på. Det kan vara affärsområdeschef, vice VD eller annan firmatecknare.

  3. Nej, vi behandlar personuppgifter i rollen som personuppgiftsansvariga. Det framgår av förordning om behandling av personuppgifter inom socialtjänsten 17 §. Vi behandlar inga personuppgifter för kommunernas räkning. Organisationen Sveriges kommuner och landsting (SKL) har förtydligat detta i sina frågor och svar om GDPR på sin hemsida.

Registrering av personuppgifter rörande barn som inte är föremål för insatser inom socialtjänst eller hälso- och sjukvård

  1. Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Om vi erbjuder den typen av tjänster till barn måste vi inhämta vårdnadshavares samtycke för att få behandla barnets uppgifter. Detta gäller barn under 13 år.

  2. Ja. Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning

E-post

  1. Personuppgifter i inkommande e-post behandlas med stöd av intresseavvägning (rättslig grund). När e-posten är läst måste en ny bedömning göras för vilket rättsligt stöd vi har för den fortsatta behandlingen av personuppgifter. De personuppgifter vi får fortsätta behandla ska överföras till det register/system som ärendet i e-posten handlar om och raderas från e-posten.

    Exempel:

    • Uppgifter i ett personalärende förs över till personalsystem
    • Uppgift om lön läggs in i lönesystemet
    • Bokföringsunderlag förs in i ekonomisystemet
  2. Om vi skickar svarsmejl eller autosvar kan man i signaturen bifoga en länk till vår information till registrerade på vår webbplats.

    Se signatur i e-post.

  3. Nedanstående text kan du lägga in i din e-postsignatur:

    När du skickar e-post till Humana behandlar vi personuppgifter såsom namn och e-postadress samt de personuppgifter du väljer att lämna till oss i e-postmeddelandet.

    Se mer hur Humana behandlar personuppgifter https://www.humana.se/humana/datapolicycookies/gdpr-pa-humana/

  4. Om man skickar e-post till flera personer utanför organisationen bör man skriva adresserna i fältet för dold kopia.

  5. E-post anses inte vara ett tillräckligt säkert sätt för att skicka känsliga personuppgifter då det går över öppet nät. Om man måste använda e-post ska den vara skyddad med kryptering så att endast mottagaren kan ta del av uppgifterna.

  6. Nej, e-post anses inte vara ett tillräckligt säkert sätt för att skicka lönespecifikationer då dessa innehåller/kan innehålla känsliga personuppgifter om till exempel hälsa (som uppgift om sjukfrånvaro). Samtycke kan inte användas som grund för att sänka säkerhetskrav som krävs enligt GDPR.

    Post, krypterad e-post och tjänster som digitala brev går bra.

  7. Ett personnummer anses vara en extra skyddsvärd personuppgift men faller inte under kategorin känsliga personuppgifter. Om personnummer inte är nödvändigt är det bättre att använda anställningsnummer. Överväg om det verkligen är relevant i samtliga fall att personnummer är med i e-posten ni skickar. Det är viktigt att alltid försöka minimera uppgifterna och endast använda uppgifter som är nödvändiga för ändamålet. Ni får skicka personnummer i e-posten som rör anställda men överväg att använda anställningsnummer istället och gör det endast om det är motiverat.

  8. Personuppgifter får skickas med e-post men inte känsliga personuppgifter. Om anställningsavtalen inte innehåller en känslig personuppgift kan ni fortsätta med den hanteringen. Tänk dock på att inte spara uppgiften i e-posten utan överföra till en bättre lagringsplats, till exempel ett personalhanteringssystem eller mapp på servern.

SMS

  1. Justitieombudsmannen har sagt att det är okej med brukarens samtycke, medan Datainspektionen sagt att även om det är okej kan det finnas situationer då sms eller e-post bör undvikas. Det är bättre att sträva efter säkra kommunikationslösningar.

  2. Personen är öppen för kontakt, men hur vet ni att mobilen som används är avsändarens? Att man har insatser inom socialtjänst eller hälso- och sjukvård är i sig en känslig uppgift om den hamnar i fel händer. Överväg därför andra kontaktvägar. Om sådana inte står till buds av olika skäl kan ett alternativ vara att svara per sms med uppmaning att ringa.

Skanning av känsliga personuppgifter

  1. Om funktionen inte finns att skanna direkt in i journalsystemet skannas handlingen till en mapp på Humanas nätverk (den egna katalogen) varifrån filen sedan kan laddas upp till journalsystemet. Innehållet i mappen ska rensas direkt efter filen laddats upp. Instruktion för hur du ska skanna finns här:

    Skanning av känsliga personuppgifter

  2. Skanning av känsliga personuppgifter ska göras med funktionen skanna till hemkatalog enligt de anvisningar som finns i länken:

    Skanning av känsliga personuppgifter

  3. NEJ!

    Känsliga personuppgifter får endast skannas med funktionen skanna till hemkatalog.

Lagring av personuppgifter i mappar på servern

  1. Personuppgifter ska i första hand sparas i ett system som kräver inloggning och som styrs av behörigheter. Att använda gemensamma mappar på servern är tillåtet så länge det inte gäller känsliga personuppgifter såvida de inte är skyddade med behörighetsstyrning eller kryptering.

  2. Personuppgifter får lagras i mappar på servern men inte känsliga personuppgifter såvida de inte är skyddade med behörighetsstyrning eller kryptering. Ni kan därför fortsätta med den hanteringen. Tänk dock på att inte spara uppgiften längre än nödvändigt för verksamheten eller utifrån lag.

  3. Personuppgifter får lagras i mappar på servern men inte känsliga personuppgifter såvida de inte är skyddade med behörighetsstyrning eller kryptering. Ni kan därför fortsätta med den hanteringen. Tänk dock på att inte spara uppgiften längre än nödvändigt för verksamheten eller utifrån lag.

Bilder, filmer och ljud

  1. Ja, all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet räknas enligt dataskyddsförordningen som personuppgifter. Även till exempel teckningar, foton, och filmer kan alltså vara personuppgifter om de avbildar människor. Till och med en ljudfil med en persons röst kan vara en personuppgift.

  2. Om syftet är att ni vill informera om vår verksamhet kan vi publicera bilderna utifrån den rättsliga grunden intresseavvägning.. För det krävs att vårt intresse av att publicera bilderna för att informera om verksamheten väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Dokumentera hur ni har resonerat när ni har gjort den avvägningen.

  3. Ja, om arbetsgivaren har tungt vägande skäl för att exponera bilder på anställda med exempelvis kundorienterade arbetsuppgifter. I sådana fall kan arbetsgivarens intresse av att publicera bilder väga tyngre än de anställdas intresse av skydd och därmed ge stöd för publiceringen. Den rättsliga grunden är då intresseavvägning.

    Den enskilde, vars namn och bild har publicerats, har rätt att göra invändningar mot en behandling som grundar sig på en intresseavvägning.

Anonymisering och pseudonymisering

  1. Anonymisering innebär att alla personuppgifter har tagits bort och att det därmed inte finns någon koppling till en levande person.

  2. Pseudonymisering innebär att man använder till exempel ett annat namn eller ett nummer istället för riktiga personuppgifter. Det finns en koppling till en levande person mellan de påhittade uppgifterna och de riktiga personuppgifterna. Detta gör att kan få reda på vem personen är om man har åtkomst till dokumentation som visar på kopplingen. Ett exempel på pseudonymisering är ett klient-ID på en faktura. Uppgift om vem klienten är finns i journalsystemet där klient-ID finns i klientens akt.

  3. Ja, om kopplingen till klient endast finns i journalsystem.