PresentationerSlide 1/1

Modul 7 · Kapitel 7.3

GDPR och personuppgifter på webben

Formulär och externa tjänster kan hantera information som kräver ansvar.

Mål

Efter kapitlet ska du kunna...

  • förklara vad en personuppgift kan vara
  • samla in så lite information som möjligt
  • förstå varför tydlig information behövs
  • veta att samtycke bara är en möjlig rättslig grund

Definition

Vad är en personuppgift?

Information som direkt eller indirekt kan kopplas till en identifierad eller identifierbar levande person.

Flera uppgifter kan tillsammans göra en person identifierbar.

Exempel

Det här kan vara personuppgifter

Namn
Adress
Personnummer
Telefonnummer
Personlig e-postadress
IP-adress
Identifierbart foto
Identifierbar ljudinspelning

Viktigt

Även offentlig information kan vara en personuppgift

Det avgörande är om informationen direkt eller indirekt kan kopplas till en levande person.

Normalt inte personuppgifter

När ingen person kan identifieras

info@foretag.se
Organisationsnummer för aktiebolag
Totalt antal besökare utan personkoppling
Namn på webbplats eller CSS-klass

Undantag

Sammanhanget avgör

Ett organisationsnummer kan vara en personuppgift om det gäller en enskild firma och därmed kan kopplas till en fysisk person.

Bedöm alltid om uppgiften kan identifiera någon – ensam eller tillsammans med annat.

GDPR

Dataskyddsförordningen

  • Gäller i hela EU.
  • Styr hur personuppgifter samlas in, används, lagras och skyddas.
  • IMY är svensk tillsynsmyndighet.

Uppgiftsminimering

Fråga bara efter det som behövs

Kontaktformulärets syfte

Ta emot ett meddelande och kunna svara.

Rimliga uppgifter

E-postadress och meddelande.

Personnummer och bostadsadress behövs inte för detta syfte.

Interaktiv uppgiftsminimering

Välj fält för ett kontaktformulär

Två nödvändiga fält

E-postadress och meddelande räcker för syftet.

  • Samla inte in mer än du behöver.

Grundprinciper

Syfte och minimering först

  • Bestäm ett tydligt ändamål.
  • Samla bara in uppgifter för det ändamålet.
  • Behandla inte fler uppgifter än vad som behövs.
  • Berätta vad uppgifterna ska användas till.

Grundprinciper

Under hela hanteringen

  • Se till att sparade uppgifter är riktiga.
  • Radera eller avidentifiera när uppgifterna inte behövs.
  • Skydda uppgifterna från obehöriga.
  • Kunna visa hur reglerna följs.

Rättslig grund

Ett giltigt skäl krävs

Personuppgifter får inte behandlas utan stöd i någon av GDPR:s rättsliga grunder.

Grunden ska väljas och dokumenteras innan uppgifterna samlas in.

Rättslig grund

De sex rättsliga grunderna

SamtyckePersonen har sagt ja.Exempel: anmälan till ett nyhetsbrev.
AvtalUppgiften behövs för ett avtal.Exempel: adress behövs för att leverera en beställning.
Rättslig förpliktelseLag eller regel kräver behandlingen.Exempel: uppgifter måste sparas enligt bokföringsregler.
Grundläggande intresseSkydda liv eller hälsa i en akut situation.Exempel: vårdpersonal behöver uppgifter för att rädda liv.
Allmänt intresse eller myndighetsutövningEn offentlig eller samhällsviktig uppgift.Exempel: en myndighet behandlar uppgifter för att handlägga ett ärende.
IntresseavvägningEtt berättigat intresse vägs mot personens integritet.Exempel: ett företag förebygger bedrägerier efter en sådan avvägning.

Samtycke

Inte en automatisk standardlösning

  • Samtycke är bara en av sex rättsliga grunder.
  • Personen ska kunna säga nej.
  • Ett samtycke ska kunna tas tillbaka.
  • Den rättsliga grunden måste passa det som faktiskt görs.

Var tydlig

Användaren ska förstå behandlingen

  • Varför samlas uppgiften in?
  • Vad ska den användas till?
  • Hur länge behöver den sparas?
  • Vilken rättslig grund används?

Riktiga webbplatser kan även behöva integritetspolicy och cookieinformation.

Externa tjänster

Data kan lämna din webbplats

Användarens
webbläsare
Extern karta,
font eller statistik
En annan
leverantör

Kontrollera vilken information tjänsten tar emot.

Externa typsnitt

Även en font kan skapa en extern kontakt

Om Google Fonts hämtas direkt från Googles servrar kan webbläsaren skicka bland annat IP-adressen till en extern leverantör.

Systemtypsnitt eller lokalt lagrade typsnitt kan minska externa anrop.

Praktiskt arbete

Kontrollera dina resurser

  • Lista kodspråken du använder.
  • Lista verktyg och externa tjänster.
  • Kontrollera om de skickar data till andra företag.
  • Var försiktig med identifierbara bilder och ljud.

Testdata

Använd inte riktiga personuppgifter i onödan

Undvik

Riktigt namn, telefonnummer och personnummer i en övning.

Använd hellre

Påhittade testuppgifter som inte kan kopplas till en riktig person.

Arbetsgång

Innan du samlar in en uppgift

  1. Bestäm syftet.
  2. Välj minsta möjliga mängd uppgifter.
  3. Identifiera rättslig grund.
  4. Informera användaren tydligt.
  5. Planera skydd, rättning och radering.
  6. Kontrollera externa tjänster.

Avgränsning

En introduktion – inte juridisk rådgivning

På riktiga projekt behöver ansvarig person eller organisation kontrollera vilka regler som gäller för den konkreta behandlingen.

Sammanfattning

Kom ihåg

  • Personuppgifter kan direkt eller indirekt identifiera en levande person.
  • Samla bara in det som behövs för ett tydligt syfte.
  • Behandling kräver en passande rättslig grund.
  • Samtycke är bara en av sex grunder.
  • Informera, skydda och radera uppgifter ansvarsfullt.
  • Kontrollera vad externa tjänster samlar in.