Vi får många frågor om just anhöriguppgifter. Anhöriguppgifter kan samlas in i olika sammanhang. Framförallt tänker kanske de flesta på anhöriguppgifter till anställda, men även för medlemmar i företag, föreningar och organisationer kan det finnas en mening med att samla in uppgifter om deras anhöriga. Vi kommer därför i detta blogginlägg gå igenom om och i sådana fall hur ni kan samla in, och därigenom behandla, uppgifter om medlemmars anhöriga på rätt sätt.

 

Publicerad den 30 september 2020

 

Vad säger GDPR?

GDPR sätter gränserna för att bedöma om en behandling är tillåten eller inte. Det kan till exempel följa av en avtalsförpliktelse eller av en bestämmelse i en lag att ni har en skyldighet att behandla personuppgifter. Det finns inget förbud i GDPR mot att behandla personuppgifter, men vissa överväganden måste ha gjorts och ni måste följa de krav som ställs upp i förordningen.

Gällande anhöriguppgifter till era medlemmar är det främst namn, relation med medlemmen och telefonnummer som kommer samlas in. Dessa uppgifter är inte känsliga personuppgifter (läs mer om känsliga personuppgifter här), vilket innebär att det i de allra flesta fall inte ska vara några större problem med att samla in uppgifter om medlemmars anhöriga. Trots att det inte är känsliga personuppgifter måste de krav som uppställs i GDPR vara uppfyllda. Dessa krav innebär i stort sett att ni 1) måste ha ett syfte – ett ändamål – med den behandling som sker och 2) måste ha en laglig grund för den behandling som sker. Det är även viktigt att följa övriga principer som styr all personuppgiftsbehandling. Jag kommer nedan gå igenom dessa viktiga delar av GDPR.

 

Laglig grund

För att en behandling ska vara laglig krävs det att den personuppgiftsansvarige har en laglig grund för behandlingen ifråga. I GDPR finns det sex olika lagliga grunder. Dessa är:

  1. Samtycke,
  2. Avtal,
  3. Rättslig förpliktelse,
  4. Allmänt intresse eller myndighetsutövning,
  5. Grundläggande intresse och
  6. Berättigat intresse

 

Generellt kan två olika lagliga grunder komma ifråga gällande behandling av anhöriguppgifter: samtycke eller berättigat intresse.

Samtycke: Ni kan inhämta samtycke från den anhörige vars uppgifter ni samlar in. Viktigt att komma ihåg är att det inte är möjligt att lämna samtycke åt någon annan. Det innebär att medlemmen inte kan ge samtycke åt den anhörige, utan samtycket måste inhämtas från den anhörige direkt. För att ett samtycke ska vara ”giltigt” ska begäran om samtycke läggas fram klart och tydligt. Den anhörige ska innan samtycket lämnas få information om bl.a. att ett samtycke alltid kan tas tillbaka, vilket syftet med behandlingen är och vilka typer av personuppgifter som kommer behandlas. Ett samtycke ska alltid lämnas frivilligt, det vill säga den enskilde ska inte känna sig tvingad eller manad att lämna samtycke när hon eller han egentligen inte vill. Ett samtycke ska slutligen vara otvetydigt, vilket innebär att det ska vara aktivt och tydligt. Att lämna samtycke till en viss behandling måste ske genom en aktiv handling av den enskilde.

Berättigat intresse: Det är även möjligt att göra en intresseavvägning för att komma fram till om ni med stöd av ett berättigat intresse har rätt att behandla uppgifter om era medlemmars anhöriga. Ert intresse av att behandla anhöriguppgifter, till exempel för att kunna kontakta anhöriga vid en olycka, måste då överväga den integritetsförlust och de rättigheter som medlemmarnas anhöriga har. Den intresseavvägning som görs ska dokumenteras.

Läs mer om de övriga lagliga grunderna här.

En rad villkor ställs upp för ett giltigt samtycke respektive en intresseavvägning, men ni som personuppgiftsansvariga har goda möjligheter att behandla personuppgifter i er verksamhet – så länge det görs på rätt sätt. Vi hjälper er gärna att säkerställa en laglig behandling av personuppgifter! Kontakta oss. 

 

Principer

En annan viktig del i GDPR är de principer som tas upp. Dessa principer styr all personuppgiftshantering och en stor del av GDPR är uppfylld om ni arbetar efter det som stadgas i principerna. Sex olika principer nämns i förordningen. Dessa är följande:

  1. Laglighet, korrekthet och öppenhet – personuppgifterna ska behandlas på ett lagligt och korrekt sätt. Det ska även ske öppet, vilket bl.a. innebär att den enskilde ska få information om behandlingen.
  2. Ändamålsbegränsning – personuppgifter ska samlas in för ett uttryckligt angivet och särskilt syfte. Detta syfte styr hur personuppgifterna får behandlas och de får inte senare behandlas på ett sätt som är oförenligt med ändamålet. Det finns anledning att nämna något mer om ändamålsbegränsning, vilket görs i stycket under.
  3. Uppgiftsminimering – uppgifterna som samlas in ska bara vara de som behövs för att syftet ska uppfyllas. De ska vara adekvata, relevanta och inte för omfattande.
  4. Korrekthet – uppgifterna ni samlar in eller har ska vara korrekta och uppdaterade. Felaktiga personuppgifter ska raderas eller rättas utan dröjsmål.
  5. Lagringsminimering – personuppgifterna får inte lagras längre än vad som krävs för att syftet ska uppfyllas.
  6. Integritet och konfidentialitet – personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet. Vad som är lämplig säkerhet är beroende av vilken typ av personuppgifter det rör sig om och hur känsliga dessa är, exempelvis om det bara är namn och telefonnummer som behandlas är kraven på säkerhet inte lika höga som om det även är diagnoser och sjukdomstillstånd som behandlas.

 

Ändamålsbegränsning – syfte

Varje behandling som påbörjas måste ha ett klart och tydligt syfte. Det är oftast inte så svårt att komma på ett syfte med en behandling, utan ofta finns det ett syfte när man tänker efter. Det som kan vara svårare är att formulera detta syfte på ett klart och avgränsat sätt. Ett syfte får till exempel inte vara ”personuppgifterna är bra att ha” eller ” de kan komma till användning i framtiden”. Dessa exempel innebär inte att syftet är klart och avgränsat.

Syftet med att behandla anhöriguppgifter kan vara till exempel för att kunna kontakta anhöriga om en medlem skulle råka ut för en olycka. Är detta syftet med behandlingen får anhöriguppgifter inte användas för något annat syfte när de samlats in, om inte det syftet är förenligt med det ursprungliga. Den anhörige ska även få information om syftet innan behandlingen påbörjats, för att veta vad dennes personuppgifter ska användas till.

 

Behöver ni hjälp?

GDPR Hero kan tillsammans med vår samarbetspartner, Sällberg & Co, hjälpa er med GDPR-relaterade frågor, hur stor eller liten frågan kan verka. Kontakta oss gärna för mer information!

Vill ni ha hjälp på traven med ert GDPR-arbete? Boka gärna en demo idag för att få veta mer om hur vårt verktyg kan hjälpa er!

 

Josefin Karlström

josefin@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This