Avista GDPR

GDPR – Dataskyddsförordningen
GDPR står för General Data Protection Regulation och är den nya dataskyddsförordning från EU som blir lag i alla EU:s medlemsländer den 25 maj 2018. GDPR ersätter Personuppgiftslagen (PUL). Lagen är till för att skydda individers integritet och avser att modernisera, harmonisera och förstärka skyddet för den personliga integriteten inom EU.

Inom varje EU-medlemsland finns en tillsynsmyndigheten som kommer kontrollera detta. I Sverige heter denna myndighet Datainspektionen.

Behandling av personuppgifter
Lagen föreskriver hur du ska behandla personuppgifter. Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till exempelvis ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer. Behandling av dessa uppgifter innebär att du genomför en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådan behandling är insamling, strukturering, lagring, bearbetning, spridning eller radering.

Känsliga personuppgifter
Det finns en speciell kategori av personuppgifter som lagen tar upp och som du som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter eller religiös övertygelse eller uppgifter om hälsa och sexualliv. Utgångspunkten är att det är förbjudet att behandla dessa personuppgifter, men det finns ett antal undantag.

Personuppgiftsansvarig och personuppgiftsbiträde
I behandlingen av personuppgifter finns det framförallt två roller som du bör känna till och beroende på vilken roll du har finns det olika ansvarsområden. Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medel. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa den personuppgiftsbiträdes efterlevnad. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för den personuppgiftsansvariges räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna.

Ansvarig och biträde för uppgifter i Avista
All behandling av personuppgifter i programmen är du som kund personuppgiftsansvarig över. Avista är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. Avistas tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet.

Avista som personuppgiftsansvarig
All behandling av personuppgifter om dig som kund, användare eller deltagare på våra utbildningar är vi personuppgiftsansvariga över när du beställer våra tjänster, kontaktar oss eller anmäler dig till någon av våra utbildningar. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vår Integritetspolicy.

Grundläggande principer i GDPR
Datskyddsförordningen bygger på sju grundläggande principer:

  1. Laglighet, korrekthet och öppenhet
  2. Ändamålsbegränsning
  3. Uppgiftsminimering
  4. Korrekthet
  5. Lagringsminimering
  6. Integritet och konfidentialitet
  7. Ansvarsskyldighet

Vad de grundläggande principerna innebär kan du läsa om på datainspektionens hemsida.

Rättsliga grunder
I uppfyllnad av principen om laglighet, korrekthet och öppenhet behöver du ha stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten. Dessa rättsliga grunder handlar om att du behöver ha ett samtycke, avtal, rättslig förpliktelse, grundläggande intressen, allmänt intresse, myndighetsutövning eller intresseavvägning för att få behandla personuppgifter.

Rättslig grund för uppgifter i Avista
Vilka rättsliga grunder som finns för behandlingen av personuppgifter i Avista måste du som personuppgiftsansvarig ta reda på och dokumentera. Det kan variera från fall till fall beroende på verksamhet, vilka lagar ni behöver följa, om ni samlar in uppgifter som krävs eller som kan vara bra att ha.