Dela personuppgifter se vår checklista

dela personuppgifter

Dela personuppgifter på ett tryggare sätt genom att ta del vår checklista vad som gäller när ditt företag delar uppgifter med underleverantörer, kunder, eller koncernbolag. Listan rör dels löpande delning av personuppgifter i långvariga samarbeten eller leveranser, dels delning av personuppgifter vid enstaka förfrågningar.

Många företag och organisationer hamnar periodvis i situationer där de måste ta ställning till om de kan och bör dela personuppgifter till andra organisationer eller koncernbolag. Denna checklista är tänkt att fungera som en vägledning vid sådana beslut. Listan är utformad för att kunna användas ihop med personuppgiftslagen och är tänkta att belysa de överväganden som bör göras för att delningen både ska kunna leva upp till lagens krav på integritet och IT-säkerhet såväl som enskildas förväntningar.

Dela personuppgifter systematiskt

Scenario: Du vill ingå ett avtal som innebär att din organisation fortlöpande delar personuppgifter, som t.ex. kundavtal för IT-tjänst, licens till CRM-system, avtal med IT-utvecklare m.m.

Kan delningen rättfärdigas?

Frågor att ta ställning till:

  • Stämmer delningen överens med det ursprungliga ändamålet (för vilket uppgifterna en gång samlades in)?
  • Har du övervägt fördelarna och riskerna för enskilda och samhället i stort som beslutet att dela personuppgifter kan innebära?
  • Är delningen proportionell i förhållande till dess syfte?
  • Kan målet med delningen uppnås utan att personuppgifter behöver delas?

Är du behörig att dela uppgifterna?

Frågor att ta ställning till:

  • Har du tillstånd att överhuvudtaget behandla dessa personuppgifter som den aktuella förfrågan avser?
  • Vilken typ av organisation arbetar du för?
  • Vilka uppgifter och vilket inflytande har din organisation?
  • Vad har uppgifterna för karaktär? (t.ex. om de är konfidentiella eller särskilt känsliga som t.ex. personnummer, hälsouppgifter, finansiell information)
  • Finns det någon juridisk skyldighet att dela uppgifterna? (på grund av t.ex. lagkrav eller domstolsbeslut)

Om du bestämmer dig för att dela personuppgifter

I så fall bör ett personuppgiftsbiträdesavtal upprättas som reglerar denna behandling av personuppgifter, alternativt kontrolleras i det fall att ditt företag har ett ingått sådant avtal. Utöver de ovan listade frågorna, bör avtalet täcka in följande aspekter:

  • Vilken information som absolut nödvändigt behöver delas.
  • Vilken organisation som personuppgifterna kommer att hanteras av.
  • Vad du behöver informera enskilda om rörande delningen och hur du vill kommunicera detta.
  • Hur en adekvat skyddsnivå för personuppgifterna garanteras.
  • Vilka mekanismer som måste finnas för att enskilda ska kunna få tillgång till sina personuppgifter om de begär det.
  • Under vilken period uppgifterna ska lagras.
  • I vilket land personuppgifterna får behandlas.
  • Garantier för att säker radering och anonymisering av personuppgifterna sker.
  • Underrätta din organisations personuppgiftsombud, alternativt kontaktperson för IT-säkerhetsfrågor.

Dela personuppgifter vid engångsförfrågningar

Scenario: du får en engångsförfrågan om att dela en enskilds personuppgifter.

Kan delningen rättfärdigas?

Frågor att ta ställning till:

  • Anser du att de aktuella personuppgifterna borde delas?
  • Är du fri att dela de aktuella personuppgifterna och har stöd av relevant kundavtal och tillhörande personuppgiftsbiträdesavtal?
  • Har du värderat fördelarna och riskerna för enskilda och samhället i stort som beslutet att dela de aktuella personuppgifterna kan innebära? (även ett avslagsbeslut kan få konsekvenser)
  • Har du övervägt risken för att någon enskild allvarligt kan skadas på grund av ditt beslut?
  • Behöver du åberopa något undantag i personuppgiftslagen för att dela uppgiften?

Är du behörig att dela uppgifterna?

Frågor att ta ställning till:

  • Har du tillstånd att överhuvudtaget behandla dessa personuppgifter som den aktuella förfrågan avser?
  • Vilken typ av organisation arbetar du för?
  • Vilka uppgifter och vilket inflytande har din organisation?
  • Vad har personuppgifterna för karaktär? (t.ex. om de är konfidentiella eller särskilt känsliga som t.ex. personnummer, hälsouppgifter, finansiell information)
  • Finns det någon juridisk skyldighet att dela uppgifterna? (på grund av t.ex. lagkrav eller domstolsbeslut)

Om du bestämmer dig för att dela uppgifterna

Frågor att ta ställning till:

  • Vilka uppgifter måste du dela?
  • Dela enbart det som är nödvändigt.
  • Skilj fakta från åsikter.
  • Hur ska uppgifterna delas?
  • Uppgifterna måste delas på ett säkert sätt.
  • Försäkra dig om att du delar uppgifterna med rätt person som har behörighet att ställa fråga om utfående samt behandla dem.
  • Överväg om det är lämpligt/säkert att informera den enskilde om att du har delat dennes uppgifter.
  • Dokumentera ditt beslut att dela personuppgifter
  • Dokumentera ditt beslut att dela aktuell personuppgift och dina skäl till beslutet. Om du delar uppgifter bör du dokumentera:
  • Vilka personuppgifter som delats och för vilket syfte.
  • Vem de aktuella personuppgifterna delades med, organisation och kontaktperson.
  • När de aktuella personuppgifterna delades.
  • Hur du har berättigat ditt beslut att dela de aktuella personuppgifterna.
  • Huruvida de aktuella personuppgifterna delades med eller utan samtycke, samt stöd i relevant personuppgiftsbiträdesavtal.
  • Underrätta din organisations personuppgiftsombud, alternativt kontaktperson för IT-säkerhetsfrågor.

Mer praktisk rådgivning

Om du vill veta mer eller har särskilda frågor om ditt företags hantering av personuppgifter, dataskydd eller IT-säkerhet, hör gärna av dig till oss, du ser kontaktuppgifterna på förstasidan. Vi erbjuder:

  • Boka en kostnadsfri workshop med våra dataskyddsexperter
  • Anmäl dig till vårt nyhetsbrev om dataskydd, praktiska tips och nyheter
  • Ta kontakt med oss för att se över er hantering av personuppgifter
  • Vi kan se över era mallavtal för personuppgiftsbiträdesavtal, kundavtal, personuppgiftspolicy m.m.

Läs mer i våra guider

Just nu är det många som hör av sig till oss för att fråga om EU:s nya dataskyddsförordning. Vi har tagit fram en övergripande vägledning för företag som ser värdet i att arbeta kundcentrerat, datadrivet och vill fortsätta att arbeta proaktivt med personuppgifter – utan att tappa fokus på den tillväxt som en stor användarbas samt kundanpassade erbjudanden ger.

Juridiskvägledning.se är en blogg med serie av inlägg om IT-juridik, internetjuridik som tillhandahålls av affärsjuridiska byrån Sharp Cookie Advisors, vars juridiska tech team rådger ledande techföretag.

För att veta mer om Sharp Cookie Advisors, eller om du har frågor om personuppgifter, personuppgiftsombud, eller behöver hjälp att förbereda ert företag för de nya dataskyddsreglerna, klicka här.

  • Share on:

Your email address will not be published. Required fields are marked *

*