Vi har nu levt med GDPR-direktivet i några år och under tiden har vi även fått en nygammal myndighet med ett bredare och tyngre uppdrag än tidigare, Integritetsmyndigheten (IMY). Denna myndighet har också fått kraftfulla sanktionsverktyg som har skrämt slag på många personuppgiftsansvariga.
Att GDPR ligger högt på företagens och myndigheters agenda märks tydligt i de anmälda personuppgiftsincidenter som varje vecka strömmar in till IMY. Lagen är tydlig med att blotta misstanken om att en personuppgiftsläcka kan ha inträffat måste anmälas till myndigheten.
Även hos allmänheten finns en stor medvetenhet om GDPR-lagen. Men har inte koll på när personuppgiftslagen och GDPR är tillämpliga. Många missförstår vad GDPR-direktivet innebär när det kommer till att få ut insamlade personuppgifter från t ex en arbetsgivare. En ganska stor del av de anmälningar som kommer till IMY är rena okynnesanmälningar som helt saknar grund.
En av de vanligare anmälningarna till IMY är när anställda eller uppdragstagare anmäler sin arbetsgivare eller uppdragsgivare för att de lagrar vissa typer av uppgifter.
Vilka uppgifter om dig får en arbetsgivare eller uppdragsgivare registrera?
Arbetsgivare och uppdragsgivare har ett legitimt behov av att registrera vissa personuppgifter om dig. Enligt lagen ska insamling av personuppgifter vara sakligt grundad i den egna verksamheten och nödvändig i förhållande till syftet som uppgifterna samlades in för. Vilket behov arbetsgivaren har av uppgifterna och vad de ska användas till måste alltså vara klart redan vid insamlingen. Det innebär att uppgifter aldrig får samlas in slentrianmässigt, för att de kan vara ”bra att ha”, eller omfatta fler personuppgifter än vad som faktiskt behövs.
Uppgifter om hälsa är en så kallad känslig personuppgift som har ett särskild skydd enligt dataskyddsförordningen. Uppgifter om t ex vaccination är en uppgift om hälsa. Utgångspunkten är att behandling av sådana personuppgifter är förbjuden. Det krävs särskilda skäl för sådan personuppgiftsbehandling. Det kan vara krav enligt lagstiftning, kollektivavtal eller motsvarande. Om sådana särskilda skyldigheter i arbetsgivarens verksamhet saknas är det inte tillåtet att registrera uppgifter om hälsa. Arbetsgivaren måste då finna ett annat stöd för sin behandling av känsliga personuppgifter.
Vilka uppgifter kan begäras ut?
Vilka uppgifter du kan få ut regleras i artikel 57.1 f i i Dataskyddsförordningen (GDPR). Det finns också en prejudicerande dom från Kammarrätten i Göteborg den 17 september 2019 med målnummer 1677-19. Innan du gör en anmälan till IMY kan det vara bra att först läsa på dataskyddsförordningen och läsa domen från Kammarrätten. Du kan också besöka IMY:s hemsida där man besvarar vanliga frågor eller ringa myndigheten.
En arbetsgivare eller uppdragsgivare är skyldiga att lämna ut en begriplig sammanställning av de register där dina personuppgifter förekommer. Den personuppgiftsansvariga ska också kunna ange för vilka ändamål uppgifterna samlats in. Om du anser att någon uppgift är felaktig kan du begära att uppgiften rättas. Du har alltså ingen självständig eller absolut rättighet att få kopior eller skärmbilder ur varje register där dina personuppgifter finns. Personuppgiftsansvariga kan välja att maska vissa uppgifter om det finns särskilda skäl. Personuppgiftsansvariga måste ha stöd i dataskyddsförordningen för att kunna göra det. Det kan t ex vara att de inverkar menligt på andras rättigheter och friheter (artikel 15.4). Det kan finnas vissa undantag i nationell lagstiftning som medger att undantag kan göras från kopian om personuppgifter (se lag 2018:18) med kompletterande bestämmelser i till EU:s dataskyddsförordning 5 kap, §§1-2. Det medför att personuppgiftsansvariga kan ta bort viss information (maska) innan uppgifterna lämnas ut till den registrerade.