Frågor och svar om GDPR
Här finns ett antal frågor och svar angående GDPR - Dataskyddsförordningen. Vissa frågor är allmänna för dig som företagare och visa är mer specifika för dig som företagare inom friskvårdsområdet. Har du specifika frågor som rör GDPR och ditt eget företag, kontakta Integritetsmyndigheten (tidigare Datainspektionen).
Uppdaterad 220421
Fråga: Vad är en personuppgift?
Svar: All slags information som direkt eller indirekt kan identifiera en levande person. All slags information kan vara en personuppgift, om den går att koppla till en individ.
Fråga: Omfattas mitt kundregister av den nya lagstiftningen?
Svar: Ja, om det innehåller personuppgifter
Fråga: Är GDPR tillämplig vid t ex tävlingar i samband med event el dylikt, där kunder lämnar ett mobilnummer eller en e-postadress för att bli kontaktade efteråt?
Svar: Ja, oftast. GDPR är tillämplig om mobilnumret eller e-postadressen kan knytas till en fysisk person och därför är en personuppgift, samt om uppgifter behandlas automatiskt (till exempel i en Excel-fil) eller på annat sätt (till exempel papper) i ett register.
Fråga: Kan jag spara personnummer i kundens journal?
Svar: Bara om du kan motivera varför du behöver kundens personnummer.
Fråga: Kan jag spara adressuppgifter i kundens journal?
Svar: Bara om du kan motivera varför du behöver kundens adressuppgifter.
Fråga: Kan jag spara kundens anamnes i journalen?
Svar: Det ska finnas ett medicinskt skäl för att få registrera uppgifterna.
Fråga: Hur länge ska jag spara en journal?
Svar: Det finns ingen lag på att du måste föra journal men enligt Etiska rådets riktlinjer, förbundets och försäkringsbolagets krav rekommenderar vi det starkt. Enligt Försäkringsavtalslagen ska journalen sparas 10 år innan preskriptionstiden är över om det har skett en behandlingsskada. Eftersom kund kan återkomma upp till 10 år efter behandling/skada, så finns argument för att informationen finns tillgänglig under denna tid.
Fråga: Jag har journaler och personuppgifter om mina kunder i pappersform, berörs jag av GDPR?
Svar: Ja, all form av insamling och lagring av personuppgifter lyder under GDPR.
Fråga: Hur ska jag hantera min kalender?
Svar: Digitala kalendrar ingår i GDPR och ska hanteras därefter. Däremot ingår bordskalendern (och liknande) inte under GDPR och räknas istället som osorterat material.
Fråga: Om man har sitt företag i bostaden, hur ser kraven ut då? Är det samma krav på inlåsning av till exempel journaler?
Svar: GDPR gör ingen skillnad på om förvaringen sker i bostaden eller i en lokal utan du ska vidta lämpliga säkerhetsåtgärder
Fråga: Vad innebär Samtycke
Svar: Dataskyddsförordningen ställer formella krav på samtyckens utformning och på den information som ska lämnas ut i samband med att samtycke inhämtas: Samtycket måste vara uttryckligt och välinformerat. Samtycket måste ges frivilligt och vara dokumenterat. Samtycket måste vara otvetydigt.
Fråga: Måste jag inhämta samtycken från mina befintliga kunder efter den 25 maj 2018?
Svar: Ett nytt samtycke behövs ej av dina befintliga kunder så länge de köper samma tjänster eller varor som tidigare, alternativt inhämta samtycket på nytt.
Fråga: Får jag använda kundens kontaktuppgifter för marknadsföring?
Svar: Ja, om du fått samtycke av kunden och så länge de köper samma tjänster eller varor som tidigare, alternativt inhämta samtycket på nytt.
Fråga: Vad är känsliga uppgifter?
Svar: Personuppgifter som kräver särskilda skäl för att få hanteras; hälsa, ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.
Fråga: Hur länge får jag behålla en personuppgift?
Svar: Så länge som det ursprungliga ändamålet kvarstår, eller ett nytt ändamål har framkommit och en legal grund finns, om ej följer av annan lag exempelvis Bokföringslagen
Fråga: Vilken information ska kunna lämnas till kunden vid anmodan?
Svar: I princip all information som finns registrerad om kunden ska kunna lämnas på begäran.
Fråga: Hur ska jag agera vid dataintrång eller en datakrasch?
Svar: Rapportera till Integritetsmyndigheten (tidigare Datainspektionen) inom 72 tim och dokumentera vad som hänt och följ deras anvisningar.
Fråga: Vad händer om jag bryter mot GDPR?
Svar: Integritetsmyndigheten har fått långtgående möjligheter att utdöma administrativa avgifter på upp till 4 procent av bolagets omsättning. Därutöver kan man bli skadeståndsskyldig om man kränker den personliga integriteten hos de registrerade.