Sveriges Åkeriföretag - Logotyp

Logga in

Är du medlem men saknar inlogggningsuppgifterklicka här »

SJU MYTER OM GDPR SOM SKAPAR FöRVIRRING OCH ORO

Sju myter om GDPR som skapar förvirring och oro

[2018-04-27 14:06 av ]

GDPR närmar sig med stormsteg i och med att den nya dataskyddsförordningen börjar tillämpas 25 maj 2018. Våra jurister hjälper medlemsföretagen att tolka GDPR och anpassa sin verksamhet så att man lever upp till den nya förordningen. För att undvika onödiga missförstånd och underlätta arbtetet med GDPR har våra jurister listat några av dom vanligaste myterna som orsakar förvirring och oro helt i onödan. 

 

 

 

MYT #1: SAMTYCKE ÄR HUVUDREGELN FÖR ALL PERSONUPPGIFTSBEHANDLING

 

Falskt. 

 

Samtycke är en laglig grund som bara är lämplig i vissa fall. Faktum är att det finns fem andra lagliga grunder som oftast passar bättre än samtycke. T.ex. utgör en laglig grund att det är nödvändigt för att fullgöra avtal med den registrerade. Denna kan med fördel appliceras på anställda (fullgöra anställningsavtalet). En annan laglig grund utgör den s.k. intresseavvägningen där företagets intresse väger tyngre än den enskildes. Den är typiskt sätt lämplig vid olika företagsevent, myndighetsbesök, mingelfester och övriga sociala arrangemang. Den är också lämpligast vid olika former av marknadsföring. 

 

Samtycke medför en mängd följdproblem. Varför det ska undvikas i sådana fall där det inte är lämpligt. Bespara er mödan och använd rätt laglig grund för rätt behandling. Så slipper ni en massa oro. 

 

 

 

MYT #2: VI BEHÖVER BARA INFORMERA DEN REGISTRERADE OM VI INHÄMTAR SAMTYCKE 

 

Falskt. 

 

All behandling av personuppgifter ska präglas av fullständig öppenhet från den som behandlar personuppgifterna. Oavsett om ni behandlar personuppgifter på grundval av samtycke, intresseavvägningen eller annan rättslig grund, så har ni alltid en skyldighet att informera om hur ni behandlar personuppgifterna och för vilka ändamål. 

 

 

MYT #3: ALLTING ÄR NYTT FROM. 25 MAJ OCH INGENTING ÄR LÄNGRE TILLÅTET

 

Falskt. 

 

Huvudregeln är att personuppgiftsbehandling är tillåten. Glöm aldrig det. Det hör snarare till undantagsfallet när en behandling är direkt otillåten

 

Sanningen är att GDPR till åtminstone 80-90 % av sitt innehåll är sådant som redan var gällande rätt enligt PUL (den dataskyddslag som är i kraft idag). Det nya är egentligen att nu kan sanktionsavgifter utfärdas mot det företag som inte efterlever bestämmelserna i (då: PUL) nu: GDPR. 

 

Alla personuppgiftsbehandlingar ska präglas av Öppenhet, korrekthet, laglighet. Mycket av detta handlar om att korrekt informera den enskilde om vad ni faktiskt använder uppgifterna till. Så släpp oron över huruvida själva behandlingen är tillåten. Fundera istället noggrant över hur ni på bästa sätt ska informera på ett öppet och pedagogiskt sätt om varför ni utför behandlingen och vad ni använder uppgifterna till. 

 

 

 

MYT #4: NU KRÄVS BITRÄDESAVTAL MED ALLA VÅRA LEVERANTÖRER OCH/ELLER KUNDER

 

Falskt. 

 

Ett biträdesavtal krävs enbart om antingen ni eller er kund förvaltar och behandlar personuppgifter på uppdrag av någon annan. Tänk er följande två scenarion. 

 

Exempel 1:

 

Åkeriet har en kund (beställaren). Beställaren har i sin tur en kund (slutkunden) som är mottagaren av godset. Åkeriets uppgift är att transportera godset. Beställarens uppgift är att tillse så att slutkunden får godset som har beställts. 

 

Beställaren inhämtar slutkundens adressuppgifter, kontaktuppgifter m.m. för att det är nödvändigt för att kunna leverera godset till slutkunden. Beställaren bestämmer syftet med behandlingen av personuppgifter. 

 

Beställaren anlitar Åkeriet för utförande av själva transporten. Beställaren lämnar ut slutkundens adressuppgifter, kontaktuppgifter, namn på referensperson m.m. Åkeriet är inte ett biträde i det här scenariot. Åkeriet har ett eget syfte med behandlingen av uppgifterna (att leverera godset till rätt mottagare). Det krävs alltså inget personuppgiftsbiträdesavtal mellan Åkeriet och Beställaren. 

 

Exempel 2: 

 

Åkeriet anlitar Analys av Färdskrivardata AB (leverantören). Åkeriet måste analysera sina chaufförers kör- och vilotider (behandling av personuppgifter). Åkeriet har inte den tekniska eller organisatoriska kapaciteten för att sköta detta själva. I stället anlitar Åkeriet leverantören för att ombesörja behandlingen av personuppgifterna. Leverantören har inget eget syfte med behandlingen. Den arbetar bara på uppdrag av Åkeriet. Biträdesavtal krävs. 

 

 

 

MYT #5: NU KRÄVS SAMTYCKE FRÅN ALLA VÅRA ANSTÄLLDA OM VI SKA BEHANDLA DERAS PERSONUPPGIFTER

 

Falskt. 

 

Ni kan inte använda er av samtycke som rättslig grund mot era anställda. Ett giltigt samtycke enligt GDPR förutsätter att den som lämnar samtycket (den anställde) inte är i beroendeställning till den personuppgiftsansvarige (arbetsgivaren). Det föreligger ett klart beroendeförhållande mellan anställd och arbetsgivare. Arbetsgivare måste istället använda t.ex. nödvändig för att fullgöra avtal eller intresseavvägningen eller nödvändig för att fullgöra rättslig förpliktelse som laglig grund. 

 

 

 

MYT #6 ANVÄNDANDE AV POSITIONERINGSTEKNIK ÄR FÖRBJUDET FROM DEN 25 MAJ 2018

 

Falskt. 

 

Positioneringsteknik dvs. att kunna avgöra position i realtid på en person eller för den delen ett fordon genom GPS, är något som är extra känsligt i och med GDPR men absolut ingenting som är otillåtet. Återigen handlar det om att den som använder sig av positioneringsteknik för att kunna pejla in sina fordon eller sina anställda måsteredogöra för vilken laglig grund den har för behandlingen och inte minst informera de fysiska personerna (registrerade) som är berörda av positioneringen. 

 

 

 

MYT #7 BEHANDLING AV PERSONUPPGIFTER I MAIL, MOBILTELEFONER M.M. ÄR INTE TILLÅTET FROM 25 MAJ 2018 

 

Falskt. 

 

Att börja oroa sig över vilka personuppgiftsbehandlingar som sker när ni skickar mejl, sms, chattmeddelanden eller motsvarande genom era mobiltelefoner eller laptops är att börja i fel ände. Det är dessutom även här i de flesta fall tillåtet att behandla personuppgifter i dessa system. 

 

Det är förvisso riktigt att GDPR även gäller för eran mailinkorg, era kontakter i mobiltelefoner m.m.. Men fokusera istället först på att bena ut hur er personuppgiftsbehandling ser ut i strukturerade system. T.ex. kundregister, bokföringssystem, löneadministrationssystem, analysverktyg för kör- och vilotider m.m. När ni har full kontroll över vilka behandlingar som sker där, så är ni bättre rustade att ta er an hur ni ska hantera t.ex. anställdas och er egen mailinkorg. 

 

Mycket av GDPR handlar om ett förändrat tankesätt och en förändrad struktur att arbeta. Mail innehåller oftast personuppgifter som kan sorteras in i ett mer relevant system. En faktura som tas emot per mejl ska t.ex. in i bokföringssystemet. Kontaktuppgifter till en kund ska in i CRM-systemet. Osv. Det är därför en god idé att först kartlägga era större system, för då har ni även facit på vart ni ska sortera in uppgifter som ni tar emot per mejl eller genom telefon.

 

 

Om du vill du veta mer om den nya dataskyddsförordningen och hur den påverkar dig som åkeriföretagare så kan du titta på vår GDPR sida. Där hittar du bland annat information, cheklistor och mallar. 

 

 

Bli medlem