GDPR

EU:s dataskyddsförordning, GDPR, gäller från den 25 maj 2018. Förordningen reglerar behandlingen av personuppgifter men också stärkta rättigheter för oss alla när det gäller personlig integritet. Förordningen gäller all personuppgiftsbehandling, både patienters uppgifter och anställdas. Samtidigt kan olika specialregler, som reglerna om journalföring i Patientdatalagen, ersätta eller komplettera GDPR:s bestämmelser.

Några viktiga begrepp:
En personuppgift är enligt GDPR varje upplysning som avser en identifierad eller identifierbar fysisk levande person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras genom namn, bild, personnummer m.m. Avidentifierade uppgifter omfattas således inte av GDPR:s regler. Även personuppgifter på papper omfattas av GDPR:s regler om uppgifterna är sökbara, som t.ex. ett alfabetiskt ordnat patientjournalsystem i hängmappar.

En behandling är en ”åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter”. En åtgärd är all tänkbar hantering av en personuppgift, exempelvis insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, läsning, användning, utlämning.

Personuppgiftsansvarig bestämmer ändamålen med och medlen för behandlingen av personuppgifter, ensam eller tillsammans med andra. Din arbetsgivare är personuppgiftsansvarig för de personuppgifter som behandlas i verksamheten där du är anställd.

Ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga. Biträdet agerar på uppdrag av den personuppgiftsansvariga, och bestämmer alltså inte ändamål och medel för en behandling. En IT-leverantör kan till exempel vara personuppgiftsbiträde.

De personuppgifter om dig som Sveriges Psykologförbund hanterar

Förbundets hantering av dina personuppgifter som medlem kan du läsa mer om i vår personuppgiftspolicy.

Dina egna personuppgifter som anställd

För din egen del berör reglerna dig själv som anställd, och det är din arbetsgivare som är ytterst ansvarig för att följa reglerna för hur dina personuppgifter får hanteras. Det kan här vara fråga om uppgifter i ditt anställningsavtal, om uppgifter i lönesystem eller andra mer personliga uppgifter kring dig som anställd, samt även uppgifter som gäller inpasseringssystem och identitetskort för inloggning i datasystem.

Din arbetsgivare måste också tänka på bl.a. tekniska och dataskyddsfrågor på ett delvis nytt sätt jämfört med tidigare. Det kan t.ex. gälla var servrarna för data ligger någonstans och vilka avtal man har med leverantörer av infrastrukturen i datanätverken.

För dig som anställd tydliggör de nya reglerna i GDPR dina rättigheter när det gäller din arbetsgivares personuppgiftshantering. Bland annat gäller det

  • Rätten att få personuppgifter rättade
  • Rätten till radering, som i GDPR kallas för ”rätten att bli glömd”.
  • Rätten att få information om vilka behandlingar som sker med personuppgifterna, både när du lämnar dem till arbetsgivaren i samband med att du anställs, och senare om du begär att få sådan information.

De personuppgifter du hanterar i ditt arbete

För journaluppgifter gäller framförallt specialreglerna i Patientdatalagen (PDL). De reglerna ändras i princip inte alls när GDPR träder ikraft. Det gör att även om det finns regler om rättelse av personuppgifter i GDPR så måste en rättelse av en journaluppgift följa de regler om rättelse av journaluppgifter som redan finns i PDL. Rätten till rättelse leder inte heller till att patienten kan bestämma om t.ex. en diagnos ska få stå i journalen. Innehållet i journalen styrs av fortfarande av PDL:s regler. När det gäller radering av journaluppgifter gäller också PDL:s bestämmelser.

För de delar av GDPR som inte regleras i PDL kommer delvis nya regler att gälla. De reglerna riktar sig dock mot verksamheten som kan behöva utforma nya rutiner i vissa delar. Det är därför viktigt att du som anställd informerar dig om de rutiner som gäller i verksamheten för hur du ska hantera personuppgifter. 

Kraven på den information som ska ges till patienter om hur deras personuppgifter behandlas är mer detaljerade än tidigare och kan föranleda nya rutiner i verksamheterna.

Observera att sekretessreglerna, som i vissa fall gäller även gentemot patienten, inte kommer att förändras. Om en sekretessbestämmelse förhindrar att uppgifter lämnas ut så gäller sekretessen före GDPR.

Har du frågor om personuppgifter?

Psykologförbundets medlemsrådgivning

Öppettider: mån-tis, tors-fre kl 9-12
Tel: 08 56706400
E-post: radgivningen@psykologforbundet.se