Lawline svarar
Hej!
Tack för att du vänder dig till Lawline med din fråga.
Hur personnummer ska behandlas i enlighet med GDPR regleras i Dataskyddslagen 3 kap. 10 §.
Huvudregeln i svensk rätt är att personnumret får behandlas om personen till vilken personnumret tillhör har samtyckt till behandlingen av personnumret. Det måste tydligt framgå att de som skriver under namninsamlingen har samtyckt till behandlingen av deras personnummer.
Det är också viktigt att personnumret exponeras så lite som möjligt och att dessa skyddas så att obehöriga inte får tillgång till de personnummer som finns på namninsamlingen. Personuppgifterna måste raderas så fort de inte längre är nödvändiga. Den som är ansvarig för namninsamlingen och/eller personuppgifterna måste även kunna visa att och hur man lever upp till reglerna i GDPR.
Datainspektionen har en väldigt pedagogisk framställning på vad som är viktigt att veta om man ska behandla någons personuppgifter, denna framställning finns på datainspektionens hemsida.
Vänligen,
