12 AMA-nytt – AF 1/2018

AF BO SAMUELSSONProjektledare/Redaktör AMA

AB Svensk Byggtjänst

Personuppgiftslagen (PUL) ersätts av den nya dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation) eller Europaparlamentets och rådets förordning (EU) 2016/679.

Det innebär förändrade krav på hur personuppgifter, får och bör hanteras, det gäller alla företag, myndigheter, organisationer och individer i hela EU.

Alla som är registrerade med namn, adress, bild eller andra personuppgifter ska kunna:

� få tillgång till sina personuppgifter � få felaktiga personuppgifter rättade � få sina personuppgifter raderade, i vissa

fall invända mot att personuppgifterna används för direktmarknadsföring

� invända mot att personuppgifterna an-vänds för automatiserat beslutsfattande och profilering

Den 25 maj 2018 ersätts PUL av GDPR vilket påverkar hur vi samlar och anger person-uppgifter i register, databaser och även i förfrågningsunderlag och avtal m m.

TE X T: BO SAMUELSSON

Så påverkas AMA AF av GDPR

� flytta personuppgifterna (dataportabilitet).Det innebär nya krav på hur person-uppgifter får behandlas, dessa skärps och den som är ansvarig måste bland annat:

� informera om hur uppgifterna behandlas � göra riskanalyser innan person-

uppgifter behandlas

� utforma IT-system så att den personliga integriteten skyddas.

KARTLÄGGNING

Kraven innebär att personuppgiftsansvariga behöver kartlägga hur man behandlar personuppgifter idag, det vill säga vilka personuppgifter som hanteras, hur de samlas in och till vem uppgifterna lämnas ut, för att säkerställa att man gör rätt efter den 25 maj.

Om personuppgifternas integritet kränks – dataintrång, oavsiktlig radering

eller liknande – måste man i vissa fall meddela både Datainspektionen och de individer som berörs inom 72 timmar från det man får kännedom om intrånget. Skickas personuppgifter utanför EU/EES måste det säkerställas att de får samma skydd som om de behandlats inom EU/EES. Samtidigt införs nya sanktionsnivåer som kan innebära böter på upp till 20 miljoner euro eller 4% av företagets globala omsättning om personuppgifterna hanteras felaktigt.

Som personuppgift räknas all slags infor-mation som direkt eller indirekt kan hänfö-ras till en fysisk person som är i livet, exem-pelvis: Namn, personnummer, organisa-tionsnummer för enskild firma, kundnum-mer, adress, IP-nummer, foton, krypterade uppgifter - om de kan dekrypteras.

Foto: Mostphotos

13AMA-nytt – AF 1/2018

RÄTT GLASRÄTT MONTERAT Anlita alltid MTK-auktoriserade företag!

Glas är möjligheternas material. Det släpper in dagsljus, dämpar buller, skyddar mot brand, stoppar farlig strålning, ger skydd mot beskjut-ning och försvårar inbrott.

Men det gäller att välja rätt glas och montera det rätt! Ett litet fel kan få stora följder. Det kan i värsta fall leda till otillräckligt brandskydd eller allvarliga säkerhetsrisker.

Det är viktigt att du anlitar MTK-auktoriserade glasföretag som följer rådande branschregler. Detta så att du kan garantera säkra glasmiljöer.

På www.mtkauktoriserad.se hittar du mer information. Du kan också söka efter företag nära dig.

BEHANDLING AV PERSONUPPGIFTER

Det finns sex principer för hur personuppgifter får behandlas:1. Ska behandlas på ett sätt som

är lagligt, korrekt och öppet (öppenhet)

2. Får bara samlas in för särskilda, u t t r yck l ig t ang ivna och berättigade ändamål (och inte senare behandlas på ett sätt oförenligt med dessa ändamål)

3. Ska vara relevanta och inte för omfattande i förhållande till ändamålet (need to have, inte nice to have)

4. Ska vara korrekta och uppdate-rade (korrekthet)

5. Får inte förvaras i en form som möjliggör identifi ering av den registrerade under en längre tid än nödvändigt för ändamålet (tidsminimering)

6. Ska behandlas på ett säkert sätt (säkerhet).

Kraven innebär också att man måste ha en laglig grund för att alls behandla personuppgifter. Det kan vara samtycke från den som personuppgifterna avser, eller att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade personen. Det kan till exempel också vara att ens intresse av att behandla personuppgifterna väger tyngre än den registrerades intresse av skydd för sina personuppgifter, eller för att man har en rättslig plikt. I de fall samtycke krävs måste det gå att bevisa att ett samtycke givits (hur, var och när).

PERSONUPPGIFTSANSVARIG

För att fullgöra sina skyldigheter mot förordningen ska det fi nnas en personuppgiftsansvarig (fysisk eller juridisk person)Personuppgift-sansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Om den personuppgifts-ansvarige låter någon annan

behandla ens uppgifter, är det ett personuppgiftsbiträde. Båda dessa parter ska föra ett register över behandlingen som utförs. Registret ska bland annat omfatta namn och kontaktuppgifter för person-uppgiftsbiträdet och den person-uppgiftsansvarige, vilka kategorier av behandling som utförs för varje personuppgiftsansvariges räkning samt information om tredje-landsöverföring och säkerhets-åtgärder. Det fi nns vissa undantag från denna skyldighet för mindre företag.

Den som behandlar personupp-gifter måste i vissa fall utse ett data-skyddsombud. Ombudets roll är att kontrollera att dataskyddsför-ordningen (GDPR) följs inom or-ganisationen genom att till exempel utföra kontroller och informations-insatser. Detta gäller främst myn-digheter eller de som regelbundet och systematiskt i stor omfattning övervakar enskilda personer, samt de som behandlar känsliga person-uppgifter eller uppgifter om brott.

VARFÖR GDPR I AMA AF

I förfrågningsunderlag där administrativa föreskrifter återfi nns förkommer en he l de l personuppgifter. I AMA AF 12, AMA AF Konsult 10 och AF Köp 08 förekommer en mängd koder och rubriker som innehåller uppmaningar att ange namn och adress eller fl era kontaktuppgifter till personer som ska medverka i eller lämna uppgifter till projektet.

Som beställare är man då ansvarig för att dessa person- och kontaktuppgifter hanteras enligt GDPR.

I entreprenörens anbud kommer alla namn och personuppgifter återfinnas som entreprenören uppmanas att lämna i förfrågnings-underlaget. Vanligtvis kommer entreprenören och beställaren att vara person-uppgiftsansvariga för dessa uppgifter var för sig.

14 AMA-nytt – AF 1/2018

AF

MÅNGA KODER BERÖRS

Under följande koder och rubriker kan namn och personuppgifter eller företagsuppgifter förekomma:

p AFA.1, AFA.11, AFA.12, AFA.121, AFA.122, AFA.13, AFA.14, AFA.15

p AFB.25, AFB.31, AFB.34, AFB.511

p AFC/AFD.122, AFC/AFD.14, AFC/AFD.163, AFC/AFD.1812, AFC/AFD.1813, AFC/AFD.1832, AFC/AFD.1833, AFC/AFD.1834, AFC/AFD.187, AFC/AFD.2221, AFC/AFD.242, AFC/AFD.263, AFC/AFD.311, AFC/AFD.312, AFC/AFD.313, AFC/AFD.314, AFC/AFD.315, AFC/AFD.316, AFC/AFD.318, AFC/AFD.321, AFC/AFD.322, AFC/AFD.324, AFC/AFD.325, AFC/AFD.328, AFC/AFD.332, AFC/AFD.343, AFC/AFD.344, AFC/AFD.345, AFC/AFD.3451, AFC/AFD.346, AFC/AFD.373, AFC/AFD.532, AFC/AFD.511, AFC/AFD.512, AFC/AFD.513, AFC/AFD.624, AFC/AFD.718

p AFG.112, AFG.12, AFG.1221, AFG.1222, AFG.124, AFG.126, AFG.127, AFG.14, AFG.141, AFG.142, AFG.16, AFG.221, AFG.222, AFG.231, AFG.232, AFG.316, AFG,321, AFG,322, AFG.411, AFG.413, AFG.414, AFG.423, AFG.51, AFG.521, AFG.61, AFG.612, AFG.62, AFG.621, AFG.751, AFG.752, AFG.832, AFG.832.

Sannolikt kan det förekomma namn och andra personuppgifter under fler koder och rubriker än de ovan uppräknade både i förfrågningsunderlag och anbud.

Dessa uppgifter ska behandlas i enligt kraven i GDPR, vilket innebär att varje företag som lämnar ut förfrågningsunderlag eller svarar på ett sådant genom ett anbud ska säkerställa att kraven uppfylls. AMA

Ny och ändrad text i AMA AFKoden AF ADMINISTRATIVA FÖRESKRIFTER, ny text:Alla namn och personuppgifter som förekommer i förfrågningsunderlag enligt dessa administrativa föreskrifter hanteras enligt reglerna i EU:s dataskyddsförordning (EU) 2016/679 (GDPR). Detsamma förutsätts gälla för de namn och personuppgifter som lämnas i anbud eller annan handling enligt dessa administrativa föreskrifter.

Under följande koder och rubriker bör detta särskilt beaktas:• AFC/AFD.343 Allmänna bestämmelser om legitimationsplikt och närvaro-redovisning, ID06 • AFC/AFD.344 Personalförteckning och legitimationsplikt• AFC/AFD.345 Elektronisk personalliggare• AFC/AFD.3451 Upplysning om elektronisk personalliggare

Koden AFC/AFD.343 Allmänna bestämmelser om legitimationsplikt och närvaroredovisning, ID06 får ändrat innehåll, befintlig text ersätts med: ID06, Allmänna bestämmelser för anslutning av Användarföretag till ID06-systemet (”ID06s Allmänna bestämmelser”), punkt 4.2 Villkor för arbetsplatser där ID06-systemet används, gäller för entreprenaden.

Koden AFC/AFD.344 Personalförteckning och legitimationsplikt får ändrat innehåll, befintlig text ersätts med:Entreprenören är skyldig att upprätta och vidmakthålla en elektronisk personallig-gare över egen och underentreprenörers personal som har rätt att uppehålla sig på arbetsplatsen och utföra arbete. Personalliggaren ska alltid finnas tillgänglig hos entreprenören på arbetsplatsen för kontroll av skatteverket. Personalligga-ren ska upprättas i enlighet med EU:s dataskyddsförordning ((EU) 2016/679), och innehålla personnummer, namn, arbetsgivare samt organisationsnummer.

Personalliggaren ska under två år efter entreprenadtidens utgång förvaras hos entreprenören. Alla personer som uppehåller sig på arbetsplatsen ska bära väl synlig bricka med personens och arbetsgivarens namn. Om brickan inte innefat-tar giltig legitimation ska sådan finnas tillgänglig.

Beställaren eller av denne utsedd representant äger rätt att utföra kontroll på arbetsplatsen och avvisa personal som saknar namnbricka.

Noteringar i personalliggaren ska sparas under två år från noteringsdagen och förvaras hos entreprenören.

AF 12 kompletteras med en upplysningstext under koden AF om skyldigheten att följa reglerna i GDPR vid hantering av namn och personuppgifter.

AVSLUTNINGSVIS

Vilka eventuella konsekvenser som GDPR får för hur alla namnuppgifter i ett förfrågningsunderlag och anbud i anslutning till ett sådant är svårt att i dag helt förutse, men dessa ändringar och tillägg i AMA AF är ett första steg. Motsvarande tillägg under AF införs också

i AMA AF Konsult 10 och AMA AF Köp 08 under koderna AU och AK.

Följande länk är till datainspektionen: https://www.datainspektionen.se/data-skyddsreformen/dataskyddsforordningen/introduktion-till-dataskyddsforordningen/

KÄLLOR: Dataskyddsförordningen (EU) 2016/679, Datainspektionen Informa-tionsmaterial: Oscar Berg, Svensk Bygg-tjänst, Sara Malmgren och Oscar Wack-ling, Foyen Advokatfirma KB, Björn Sjö-strand ID06