25-03-2019

Vad som för många företag tidigare var helt vanliga arbetsprocesser, betraktas nu i och med GDPR som osäkra och olagliga.

Här kan du läsa om tre fallgropar som du måste vara uppmärksam på – och vad du kan göra åt dem:

 

1. Ni skickar anställningsavtal och andra personliga dokument via oskyddade e-postkonton

Varför är det fel?

Anställningsavtal och andra personliga dokument innehåller ofta personnummer och andra sekretessbelagda uppgifter.

Datainspektionen har skärpt kravet för skydd av känsliga och sekretessbelagda uppgifter som skickas via e-post. Det innebär bland annat att e-postmeddelanden som innehåller sekretessbelagda uppgifter så som t.ex. personnummer och information om hälsa, löne-, anställnings- och familjeförhållanden måste krypteras. En av grundprinciperna i dataskyddslagen är kravet på fullgod säkerhet vid behandling av personuppgifter. Om företag och organisationer inte efterlever kravet, kommer det med stor sannolikhet medföra ekonomiska sanktioner.

Vad kan vi göra?

Ditt företag måste säkerställa att ni använder ett säkert system när ni skickar runt dessa typer av dokument. Ni kan använda ett verktyg som krypterar innehållet i e-postmeddelanden eller så kan ni skicka dokumenten via en säker plattform, t.ex. e-Boks. Genom att använda en säker plattform är det samtidigt också enkelt för mottagarna att returnera de sekretessbelagda dokumenten i fråga utan att använda osäkra kanaler.

 

2. Ni samlar in uppgifter via en osäker kanal

 Varför är det fel?

Det är vanligt att företag inte utnyttjar alla de funktioner de redan har i sina system, utan istället använder externa tjänster till specifika ändamål. Det gäller t.ex. vid insamling av uppgifter via frågeformulär. Ju fler olika system man använder, desto större är risken för att man sprider uppgifter som man inte kan hålla reda på, och att man därigenom får en osäker lösning.

Vad kan vi göra?

Begränsa antalet system ni använder till insamling och behandling av personuppgifter. Det gör administrationen av personuppgifter mer överskådlig och reducerar antalet gränssnitt och överföringar mellan olika system. Undersök vilka funktioner som finns tillgängliga i de lösningar ni redan använder och litar på. e-Boks garanterar säker kommunikation och gör det möjligt att samla in uppgifter från användare, t.ex. genom frågeformulär.

 

3. Ni använder uppgifter som samlats in till ett ändamål för ett annat ändamål

Varför är det fel?

Ni kanske har begärt feedback om ett system eller en webbplats, där kunder har uppgett sina personuppgifter i samband med sin feedback. Om denna data lagras och senare används till ett annat ändamål – till exempel marknadsföring, måste man skaffa sig ett specifikt samtycke till båda ändamålen.

Vad kan vi göra?

Om personuppgifterna behandlas på bakgrund av ett samtycke, gäller samtycket enbart för de eller det specifika ändamålet som användaren informeras om vid införskaffandet av samtycket. Ni kan därför med fördel be om samtycke till de ändamål som ni vet att uppgifterna kommer att användas till.

Det finns flera stränga krav kopplade till ett samtyckes giltighet. Det måste bland annat vara tydligt för användaren vilka uppgifter som behandlas och till vilket eller vilka ändamål samtycket behövs för. Samtidigt har användaren alltid rätt att dra tillbaka sitt samtycke. Därutöver måste användaren ge sitt samtycke på ett aktivt sätt, t.ex. genom att klicka på en kryssruta eller en knapp. Ett samtycke är inte giltigt om kryssrutan är ikryssad i förväg, eller om ett samtycke gäller för flera oförenliga ändamål.

Om man använder e-Boks till registrering av samtycken, så uppfyller man en rad av de krav som ställs på samtycken. Man är säker på att användarens identitet, tidpunkten för samtycket samt innehållet dokumenteras. På så sätt kan man enkelt be användaren om respektive samtycken till olika ändamål på en gång.

Men kom alltid ihåg att ni måste vara beredda på att hjälpa användare som vill utöva sina rättigheter. De kan när som helst kräva att få återkalla ett samtycke. Samtidigt har användaren rätt att se exakt vilka uppgifter och behandlingar som kan kopplas till användaren, och inte minst har användaren också rätt att få sina uppgifter hos er raderade.

 

Vill du veta mer om hur ni kan använda e-Boks för att undvika att begå dessa misstag? Då kan du kontakta e-boks här.