Vanliga GDPR-frågor – och vad IMY granskar under 2025

Hur får personuppgifter delas, vad gäller vid GPS-övervakning – och vad fokuserar Integritetsskyddsmyndigheten (IMY) på under nästa år? Här får du en sammanfattning av aktuella GDPR-frågor som ofta dyker upp bland våra medlemmar.

När krävs personuppgiftsbiträdesavtal – och när är ni delat eller gemensamt ansvariga?

Om du till exempel lägger ut en behandling av personuppgifter på en extern leverantör så måste du i många fall upprätta ett så kallad personuppgiftsbiträdesavtal för att säkerställa att det externa företaget hanterar personuppgifterna på ett enligt GDPR tillåtligt sätt. Enkelt uttryckt – ni bestämmer över personuppgifterna och ska ge instruktioner till biträdet om vad denne får lov att göra med personuppgifterna. Det enklaste exemplet är om ni anlitar ett företag för hjälp med att administrera och betala ut löner. Personuppgifterna är era, dvs era anställda och det externa företaget har inget intresse av att själv behöva behandla dina anställdas personuppgifter för annat syfte än att på dina instruktioner betala ut lön och därefter ta betalt för den tjänsten.

Bedömningen kan bli svårare om ni i olika situationer delar personuppgifter som i vissa fall både ni som avsändare och den som är mottagare behöver för den fortsatta hanteringen av tex utförandet av en tjänst eller uppdrag och att ni därmed båda har ett eget syfte/ändamål med behandlingen. Då är det inte lika självklart att det är ett regelrätt personuppgiftsbiträdesavtal som behöver vara på plats. Det kan nämligen vara så att ni är så kallat delat eller gemensamt personuppgiftsansvariga, dvs ni båda behöver behandla personuppgifter i er verksamhet eller uppdraget för egna syften vilket innebär att delning av information kan behöva regleras på annat sätt. Det är oavsett situation viktigt att hantera personuppgifterna i enlighet med GDPR, att informera de registrerade om er hantering och hur de kan gå tillväga för att ta tillvara sina rättigheter mm. 

Då dessa frågor kan vara snåriga och behöver bedömas från fall till fall rekommenderar vi att ni rådgör med jurist om ni behöver ta ställning till hur och på vilka grunder ni kan och ska dela vissa personuppgifter.

GPS och övervakning – vad gäller för dig som arbetsgivare?

Ett område där frågor ofta återkommer är arbetsgivarens rätt att övervaka sina anställda. Detta sker idag på grund av den tekniska utvecklingen nästan mer som regel än undantag. Det finns inga direkta hinder för en arbetsgivare att använda GPS-positionering men det är viktigt att ha kontroll på syftet/ändamålet, fastställa rättslig grund, och att lämna tydlig information om detta till de som berörs. Om fordon får användas efter arbetstid måste det gå att stänga av positioneringen eller om man tex behöver uträtta ett privat ärende. Då detta är ett fackligt förhandlingsintresse kan en förhandling behöva göras avseende övervakningen.

Det som har sagts vara acceptabla syften för GPS-positionering är för tex transportplanering och fördelning av resurser, säkerhet, hantering av reklamationer och klagomål. När det gäller kamerabevakning som vi skrivit om tidigare Kameraövervakning – vad är det som gäller? så kan det vara platser som har stöldbegärligt gods och som haft upprepade problem med stöld och brottslighet och som därmed behöver ha en kamerabevakning. Det är inte tillåtet att av andra anledningar bevaka/övervaka sina anställda genom GPS eller kamerabevakning utöver det syfte/ändamål man inledningsvis fastställde för övervakningen och som i sin tur måste vara i överensstämmande med ändamål som är godtagbara enligt GDPR. Allt för ingående övervakning är aldrig acceptabelt.

För att kunna visa sina slutsatser kring just behovet av övervakning och positionering ska dessa dokumenteras i en så kallad konsekvensbedömning, som fungerar lite som en riskanalys och där ni beskriver bland annat varför ni anser det viktigt för er som verksamhetsutövare att få övervaka, hur det går till, var och hur information lämnats till de anställda samt eventuella risker och hur dessa risker har minimerats.

Att ha en kartläggning av era personuppgiftsbehandlingar på plats är viktigt, dvs kontroll över vilka personuppgifter ni behandlar och för vilket syfte/ändamål, samt kunskap om hur ni ska lagra, var ni får lagra, när ni ska radera uppgifter, begränsa tillgången och agera i händelse av en incident.

Tillgång till GDPR-manual och juridisk rådgivning

• Ta gärna del av vår GDPR-manual som ni hittar här, Medlemsmaterial GDPR | Sveriges Åkeriföretag
• Ni är alltid välkomna att kontakta SÅ Juridik för att rådgöra i olika GDPR-relaterade frågor. Ring, 010-510 54 30 eller skicka ett mail till juridik@akeri.se

IMY:s tillsyn 2025 – detta granskas särskilt

IMY har nu kommit ut med sin tillsynsplan för 2025 och de områden som är i fokus är:

• Arbetslivet, dvs hur arbetsgivare hanterar anställdas personuppgifter
• AI och GDPR
• Känsliga personuppgifter inom vård och omsorg
• Kamerabevakning. Från den 1 april 2025 är inga verksamheter, dvs inte nu heller det allmänna såsom myndigheter, tillståndspliktiga. Företag som inte faller in under begreppet det allmänna har ju sedan tidigare inte behövt söka tillstånd men måste följa reglerna i GDPR och kamerabevakningslagen. IMY kommer att under 2025 ha extra uppmärksamhet på just de avvägningar som verksamhetsutövaren gör för att motivera sitt behov av kamerabevakning samt förteckning över sin bevakning.

Kontakt oss vid frågor