Personuppgifter & GDPR

Personuppgifter och GDPR kan vara en svår nöt att knäcka, men ack så viktig. För att kunna känna frihet när man kommunicerar och marknadsför måste man först och främst ha lagt grunden rätt. Det innebär främst att man vet vem man ska kontakta, med vilket budskap och på vilka villkor. Vi kommer därför i detta inlägg berätta om allt du behöver veta om hantering av personuppgifter i enlighet med GDPR.

Vad är en personuppgift enligt GDPR?

I den digitala värld vi lever i så är skillnaden mellan en e-postadress och ett personnummer hårfin. Precis som att det bara är du som har ditt personnummer, så är det bara du som har din e-postadress. De flesta kopplar snabbt ihop GDPR och personnummer som den typiska personuppgiften. Men eftersom det bara är du som äger din e-postadress, så räknas även det som en personuppgift.

Vad säger GDPR om personuppgifter?

En personuppgift är all typ av information som kan användas för att identifiera en levande människa, och det gäller även kombinationen av olika uppgifter som kan identifiera någon (ex. vid en analys). 

Vilka personuppgifter omfattas av GDPR?

All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet räknas som en personuppgift. Även bild- och ljudupptagningar kan räknas som personuppgifter, om man kan se eller höra vem det handlar om, även om det inte nämns några namn. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person.

Exempel på information som räknas som personuppgifter:

  • E-postadress
  • IP-nummer
  • Personnummer
  • Telefonnummer
  • Bostadsadress
  • Kundnummer
  • Bilder
personuppgifter och gdpr

Vad räknas inte som en personuppgift?

Eftersom konsekvenserna när man bryter mot GDPR eller hanterar personuppgifter på ett oansvarigt sätt kan vara hårda, så tar företag oftast det säkra före det osäkra. Men det finns självklart uppgifter som inte räknas som en känslig personuppgift och det är exempelvis:

  • organisationsnummer (utom vid enskild firma, då anses det vara en personuppgift)
  • e-postadresser som info@företag.se.

Viktigt gällande personuppgifter

Vad måste ditt företag tänka på när det gäller personuppgifter?

  • Ta reda på och dokumentera vilka personuppgifter ni samlar in idag och motivera varför ni samlar in dem.
  • Se till att ni kan hantera alla nya rättigheter (ex. rätten att bli bortglömd).
  • Rensa upp er databas och släng gamla uppgifter som inte längre används eller är aktiva/giltiga.

Nästan alla företag har en databas som innehåller kontaktuppgifter till kunder, prospekt, leads eller nyhetsbrevsprenumeranter. Om den databasen innehåller namn, e-postadresser eller telefonnummer, så innebär det att dessa uppgifter någon gång har blivit behandlade.  Hur ditt företag behandlar personuppgifter är en viktig del i den nya dataskyddsförordningen, och här nedan försöker vi förklara vad som gäller med det:

Enligt GDPR så innebär behandling av personuppgifter nästan allt som görs med en personuppgift, förutom att kommunicera. Om ni har kontaktuppgifter till kunder i Rule så har de någon gång behandlats. Det kommer att vara ett krav att det finns någon ansvarig som kan se till att själva behandlingen går till på rätt sätt.

Här är några exempel på vad som räknas som personuppgiftsbehandling enligt GDPR: 

  • Att skicka in en e-postadress till ett eller flera av dina system.
  • Att automatiskt analysera och lägga till ytterligare uppgifter, baserat på de uppgifter du redan har (också kallat “populera”).
  • Att dela upp olika personuppgifter i grupper/segment för att begränsa eller tillåta viss kommunikation.
  • Att dra ut en excelfil för att manuellt lägga till namn, telefonnummer eller liknande.

Det finns även en lag som heter personuppgiftslagen, så vad är då GDPR lagen i förhållande till den? ”GDPR-lagen säger att företag måste kunna visa vad de vill göra med personuppgifterna som samlas in, sparas eller registreras. Personuppgiftslagen (PUL) handlar mer om vad som görs med informationen när den väl är insamlad eller registrerad.”

Det bör ditt företag tänka på gällande GDPR och personuppgifter

För att ditt företag ska få behandla personuppgifter måste det finnas en rättslig grund som tillåter behandlingen. Det är egentligen bara 3 punkter som ditt företag måste hålla koll på för att kunna samla in nya leads och e-postadresser enligt nya dataskyddsförordningen:

  1. Samtycke – Den registrerade har lämnat sitt samtycke till att dennes personuppgifter får behandlas för ett eller flera specifika ändamål.
  2. Avtal – Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade tar del av eller för att kunna fullfölja vissa överenskommelser, innan den registrerade accepterar ett sådant avtal.
  3. Berättigat intresse – Personuppgifter får behandlas i vissa andra situationer som lagen räknar upp. Om behandlingen är nödvändig och om den personuppgiftsansvarige anser att behandlingen inte kan kränka den personliga integriteten, så är detta tillåtet. Det är med andra ord en personlig avvägning från den personuppgiftsansvarige, och om det på något sätt kan leda till kränkning av integriteten hos den registrerade kan det bli dryga böter eller andra konsekvenser för företaget i fråga.

Känsliga personuppgifter enligt GDPR

Så, vilka GDPR känsliga personuppgifter bör man egentligen ha koll på?

Vi listar dom här nedan:

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter
  • biometriska uppgifter som används för att entydigt identifiera en person

Får man maila personuppgifter enligt GDPR?

Man bör göra samma bedömning för behandling av personuppgifter i mail som behandling av personuppgifter i vilket annat system.  De rekommendationer som IMY (integrationsmyndigheten) skriver på sin hemsida lyder enligt följande:

  • När ni mottagit och läst e-posten, bedöm om uppgifterna ska bevaras och var det i så fall ska ske för att uppfylla de krav som gäller för just dessa uppgifter.
  • Skicka inte känsliga personuppgifter i oskyddad e-post.
  • Informera på er webb i samband med e-postadressen hur ni behandlar personuppgifter eller länka därifrån till er integritetspolicy.
  • Om ni skickar svarsmejl eller autosvar, bifoga en standardtext där ni informerar den som skickat e-post om hur ni behandlar personuppgifter eller länka till en integritetspolicy på er webbplats.
  • Informera alla i er organisation om reglerna och rutinerna för hur ni behandlar personuppgifter i er organisation. Se också till att rutinerna hålls levande.

Lämna ut personuppgifter till tredje part GDPR

Det finns en rättslig grund som kallas intresseavvägning som innebär att ni som företag i vissa fall får behandla personuppgifter. Det som gäller då är  om era intressen väger tyngre än den registrerades samt om behandlingen av personuppgifter är nödvändig för ändamålet. När du har intresseavvägning som rättslig grund, får ni lämna ut personuppgifter till tredje part, alltså till en mottagare som har ett berättigat intresse. Men innan ni lämnar ut uppgifterna ska ni ta reda på tre simpla men viktiga saker:

  • varför de vill ha personuppgifterna
  • vad de ska använda personuppgifterna till
  • och om de verkligen behöver dem

När ni väl lämnat ut personuppgifterna måste ni även kunna motivera erat utlämnande. Det är sedan tredje partens ansvar att motivera vilken rättslig grund de själva stödjer behandlingen på.

Vilka personuppgifter får sparas?

Hur får man då i enlighet med GDPR spara uppgifter och hur länge får man spara personuppgifter? Personuppgifter får med personuppgiftsbehandlingen sparas så länge som det behövs för ändamålet. Så enligt GDPR ska ni ta bort personuppgifter som ni sparat när de inte längre behövs för det specifika ändamålet. Då är det dags att radera eller avidentifiera dom.

Share this article

Driv engagemang och tillväxt genom smart kommunikation

integration

Lucka 1: Minska avregistreringar med preferenser för e-post

I lucka nummer ett av Rules Release Calendar hittar vi Preferenser för e-post. Vad innebär det? Preferenser för e-post innebär att du ger dina prenumeranter …

Read More
Ämnesraden i mail

Stick ut i dina prenumeranters inkorg

Visste du att ämnesraden är startpunkten för ditt mail och att den kan vara helt avgörande för hur många som väljer att öppna ditt mail? …

Read More
black friday försäljning

Grattis alla företag! Er Black Friday försäljning är räddad.

Drömmen om maximerad försäljning under kampanjperioder som Black Friday kan äntligen besannas. Hur? Med SMS såklart! Nå dina kunder omedelbart, oavsett var de befinner sig, …

Read More

Explore Rule free for 30 days, without even having to register a debit card.

Discover how you, with the help of Rule and smart communication, can drive growth through increased engagement. We’re here to help you get started!

 

  • Pre-made templates and free test emails
  • Try our features in your own pace
  • No lock-in period or hidden extra fees
  • Choose from our flexible subscriptions

 

Get a personal demo of Rule

Discover how you can increase digital engagement and growth in a personal demo of our platform.

Utforska Rule gratis i 30 dagar, utan att ens behöva registrera ett betalkort.

Upptäck hur du med hjälp av Rule och smart kommunikation, kan driva tillväxt genom ökat engagemang. Vi hjälper dig att komma igång!

 

  • Färdiga mallar och gratis testutskick
  • Utforska alla våra funktioner i lugn och ro
  • Ingen bindningstid eller dolda extraavgifter
  • Välj sedan bland våra flexibla abonnemang

Få en kostnadsfri demo av Rule

Upptäck hur du kan öka digitalt engagemang och tillväxt i en personlig genomgång av Rule.