Modul 7 · Kapitel 7.3
GDPR och personuppgifter på webben
Formulär och externa tjänster kan hantera information som kräver ansvar.
Mål
Efter kapitlet ska du kunna...
- förklara vad en personuppgift kan vara
- samla in så lite information som möjligt
- förstå varför tydlig information behövs
- veta att samtycke bara är en möjlig rättslig grund
Definition
Vad är en personuppgift?
Information som direkt eller indirekt kan kopplas till en identifierad eller identifierbar levande person.
Flera uppgifter kan tillsammans göra en person identifierbar.
Exempel
Det här kan vara personuppgifter
Viktigt
Även offentlig information kan vara en personuppgift
Det avgörande är om informationen direkt eller indirekt kan kopplas till en levande person.
Normalt inte personuppgifter
När ingen person kan identifieras
info@foretag.seUndantag
Sammanhanget avgör
Ett organisationsnummer kan vara en personuppgift om det gäller en enskild firma och därmed kan kopplas till en fysisk person.
Bedöm alltid om uppgiften kan identifiera någon – ensam eller tillsammans med annat.
GDPR
Dataskyddsförordningen
- Gäller i hela EU.
- Styr hur personuppgifter samlas in, används, lagras och skyddas.
- IMY är svensk tillsynsmyndighet.
Uppgiftsminimering
Fråga bara efter det som behövs
Kontaktformulärets syfte
Ta emot ett meddelande och kunna svara.
Rimliga uppgifter
E-postadress och meddelande.
Personnummer och bostadsadress behövs inte för detta syfte.
Interaktiv uppgiftsminimering
Välj fält för ett kontaktformulär
E-postadress och meddelande räcker för syftet.
- Samla inte in mer än du behöver.
Grundprinciper
Syfte och minimering först
- Bestäm ett tydligt ändamål.
- Samla bara in uppgifter för det ändamålet.
- Behandla inte fler uppgifter än vad som behövs.
- Berätta vad uppgifterna ska användas till.
Grundprinciper
Under hela hanteringen
- Se till att sparade uppgifter är riktiga.
- Radera eller avidentifiera när uppgifterna inte behövs.
- Skydda uppgifterna från obehöriga.
- Kunna visa hur reglerna följs.
Rättslig grund
Ett giltigt skäl krävs
Personuppgifter får inte behandlas utan stöd i någon av GDPR:s rättsliga grunder.
Grunden ska väljas och dokumenteras innan uppgifterna samlas in.
Rättslig grund
De sex rättsliga grunderna
Samtycke
Inte en automatisk standardlösning
- Samtycke är bara en av sex rättsliga grunder.
- Personen ska kunna säga nej.
- Ett samtycke ska kunna tas tillbaka.
- Den rättsliga grunden måste passa det som faktiskt görs.
Var tydlig
Användaren ska förstå behandlingen
- Varför samlas uppgiften in?
- Vad ska den användas till?
- Hur länge behöver den sparas?
- Vilken rättslig grund används?
Riktiga webbplatser kan även behöva integritetspolicy och cookieinformation.
Externa tjänster
Data kan lämna din webbplats
webbläsare→Extern karta,
font eller statistik→En annan
leverantör
Kontrollera vilken information tjänsten tar emot.
Externa typsnitt
Även en font kan skapa en extern kontakt
Om Google Fonts hämtas direkt från Googles servrar kan webbläsaren skicka bland annat IP-adressen till en extern leverantör.
Systemtypsnitt eller lokalt lagrade typsnitt kan minska externa anrop.
Praktiskt arbete
Kontrollera dina resurser
- Lista kodspråken du använder.
- Lista verktyg och externa tjänster.
- Kontrollera om de skickar data till andra företag.
- Var försiktig med identifierbara bilder och ljud.
Testdata
Använd inte riktiga personuppgifter i onödan
Undvik
Riktigt namn, telefonnummer och personnummer i en övning.
Använd hellre
Påhittade testuppgifter som inte kan kopplas till en riktig person.
Arbetsgång
Innan du samlar in en uppgift
- Bestäm syftet.
- Välj minsta möjliga mängd uppgifter.
- Identifiera rättslig grund.
- Informera användaren tydligt.
- Planera skydd, rättning och radering.
- Kontrollera externa tjänster.
Avgränsning
En introduktion – inte juridisk rådgivning
På riktiga projekt behöver ansvarig person eller organisation kontrollera vilka regler som gäller för den konkreta behandlingen.
Sammanfattning
Kom ihåg
- Personuppgifter kan direkt eller indirekt identifiera en levande person.
- Samla bara in det som behövs för ett tydligt syfte.
- Behandling kräver en passande rättslig grund.
- Samtycke är bara en av sex grunder.
- Informera, skydda och radera uppgifter ansvarsfullt.
- Kontrollera vad externa tjänster samlar in.