Hur ska man tänka när det gäller användande av gratistjänster som exempelvis Google forms för att utföra en anonym patientenkät? Är det okej, eller kan det bryta mot regler som exempelvis GDPR?
Det kan vara väldigt praktiskt att använda ”gratis” tjänster online för olika syften. Men det är viktigt att komma ihåg att de verktyg som uppges vara gratis oftast finansieras genom datainsamling.
Som företag/organisation inom hälso- och sjukvården har man ett eget ansvar under dataskyddsförordningen (GDPR 2016/679) och patientdatalagen (2008:355) och då blir det svårt att med rättslig grund tryggt kunna använda gratis onlinetjänster. För oftast har vi ingen kontroll över syftet med deras datainsamling.
Det kan finns undantag där gratistjänster kan fungera, men då det är mycket svårt att ha kontroll över samtliga kriterier för ansvaret för personuppgifter, så rekommenderas betaltjänster för insamling av data. Då man köper en tjänst kan ansvarsfrågan alltid regleras i avtal.
Fördjupning
Vad är en personuppgift?
Vad som är en personuppgift behöver man ta ställning till fortlöpande som företag. IMY skriver att en Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Det kan röra sig om namn, adress och personnummer.
Även foton på personer klassas som personuppgifter. Även ljudinspelningar som lagras digitalt kan vara personuppgifter även om det inte nämns några namn i inspelningen, då det kan vara identifierbart som helhet.
Ej uttömmande exempel på personuppgifter är
• namn
• adress
• e-postadress
• personnummer
• id-kortnummer
• telefonnummer
• IP-adress när du surfar på nätet
• foto på person
Exempel på uppgifter som inte räknas som personuppgifter kan vara
organisationsnummer (utom vid enskild firma, då anses det vara en personuppgift), e-postadresser som info@företag.se mm.
Facklig verksamhet och hälso- och sjukvård hanterar särskilt skyddade personuppgift enligt dataskyddsomförordningen (GDPR 2016/679) och patientdatalagen (2008:355) gäller för all verksamhet inom hälso- och sjukvården.
Rättslig grund
Det är viktigt att de som avser använda en onlinetjänst noggrant tänker igenom och preciserat dokumenterar för vilka ändamål ni kommer att samla in, bearbeta, lagra och på andra sätt behandla användarnas personuppgifter. Det behöver ni göra innan ni påbörjar insamlingen. Den rättsliga grunden.
Om det inte görs är det är det i princip omöjligt att ta ställning till om man över huvud taget har rätt att behandla personuppgifter och vilken rättslig grund som finns för de olika behandlingarna. Inom ramen för ett avtalsförhållande kan det ju finnas olika ändamål med behandlingen och därmed olika rättsliga grunder för olika delar av behandlingen.
Privata företag, föreningar och organisationer i privat verksamhet kan främst använda rättslig grund i form av:
• samtycke
• avtal
• rättslig förpliktelse
• intresseavvägning
Transparens
Genom dataskyddsförordningen ska de registrerade få bättre kontroll över sina personuppgifter och kunna göra väl avvägda val till vilka man lämnar ut sina personuppgifter. För att det ska vara möjligt krävs att de registrerade känner till hur deras personuppgifter används i olika situationer. En av de grundläggande dataskyddsprinciperna är att personuppgifter ska behandlas på ett öppet sätt i förhållande till de registrerade (artikel 5.1 a).
Utifrån beskrivningen av respektive ändamål ska den registrerade kunna förstå vilken typ av behandling som kommer att utföras. Vaga eller allmänt hållna beskrivningar, såsom "att förbättra användarnas upplevelse", "marknadsföringsändamål", "IT-säkerhetsändamål" eller "framtida forskning", är inte tillräckligt precisa.
Risker med molntjänster
Det är leverantören av molntjänsten som kontrollerar IT-utrustningen som hanterar och lagrar din information. Det innebär en risk för att leverantören med personal och eventuella underleverantörer kan ta del av den. Informationen kan behandlas i länder utanför EU med andra lagar och sämre skydd för din integritet. Därför är det viktigt att du gör ett medvetet val av vilka uppgifter du anser att andra kan få ta del av.
Avtalsvillkor och samtycke är inte samma sak
Att acceptera avtalsvillkor och att lämna sitt samtycke är två olika saker. När ni behandlar personuppgifter som faktiskt är nödvändiga för att fullgöra ett avtal kan det vara en rättslig grund. Men samtidigt finns inte automatiskt samtycke från individer som rättslig grund för behandlingen, då de inte nödvändigtvis är avtalsparter om avtal är mellan exempelvis två företag.
Omvänt får behandling som i praktiken inte är nödvändig för fullgörandet av ett avtal utföras endast om den vilar på en annan rättslig grund. Alltså måste man i enskilda tillfällen alltid analysera hur rättslig grund kan finnas, kan skapas och vad som är motiverat i sammanhang för att säkerställa att man jobbar med säker rättslig grund för aktuell databehandling.