GDPR/dataskyddsförordningen

GDPR (General Data Protection Regulation), även kallat dataskyddsförordningen, är det regelverk som ersatte den svenska personuppgiftslagen (PuL) den 25 maj 2018. Dataskyddsförordningen har som primärt syfte att skydda fysiska personers integritet genom att sätta ut tydligare regler för hur personuppgifter får och ska behandlas. Exempel på skillnader mellan GDPR och PuL är att reglerna har blivit tydligare avseende den enskildes rättigheter att ta del av behandlingen av personuppgifter, och att sanktionsavgifterna för behandling som strider mot regelverket har höjts. GDPR gäller i hela EU, vilket därmed kommer att bidra till att reglerna för behandlingen av personuppgifter harmoniseras i hela EU-området.
Dataskyddsförordningen gäller alla organisationer som behandlar personuppgifter, såväl offentliga som privata, och detta oberoende av storlek eller verksamhetsändamål. Detta gäller även direkt som indirekt personuppgiftsbehandling, exempelvis kan detta yttra sig då ena parten äger själva kundrelationen (den personuppgiftsansvarige) och har en underleverantör som behandlar deras personuppgifter (den som är personuppgiftsbiträde).
GDPR innehåller regler för hur personuppgifter får och ska behandlas. Personuppgiftslämnarens rättigheter har blivit är tydligare och hårdare krav ställs på organisationen som hanterar och bär ansvaret för behandlingen av personuppgifter. I förordningen stadgas de krav som ställs på den som ansvarar för personuppgifter (den personuppgiftsansvarige) samt vilka krav som ställs på den som hanterar personuppgifter för någon annans räkning (den som är personuppgiftsbiträde).
DPO står för Data Protection Officer, eller dataskyddsombud på svenska. Dataskyddsombudet övervakar behandlingen av personuppgifter i organisationen genom att se till att behandlingen ligger i linje med dataskyddsförordningen, se art 37-39 GDPR.
För att en organisation ska få kunna behandla personuppgifter krävs att organisationen kan hänvisa till en laglig grund i art 6.1 GDPR.
Det finns sex lagliga grunder. De lagliga grunderna som organisationen kan stödja sig på för behandling av personuppgifter är följande:
- Om personuppgiftslämnaren har samtyckt till behandlingen.
- Om man har tecknat avtal eller är på väg att teckna ett avtal med personuppgiftslämnaren.
- Om man har en laglig skyldighet att lagra informationen, exempelvis bokföring.
- Om behandlingen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerades liv.
- I myndighetsutövning.
- När ett berättigat intresse föreligger.

Personuppgifter

Personuppgifter är alla slags uppgifter som kan härledas till en levande fysisk person. Exempel på personuppgifter skulle kunna vara exempelvis foton, namn, personnummer och medlemsnummer. Även olika slags elektroniska enheter, så som IP-adress, räknas som personuppgift om den kan kopplas till en person.
Uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.
De organisationerna som kan stödja sig på en laglig grund för behandlingen av personuppgifter får behandla personuppgifter, så länge behandlingen ligger i linje med GDPR.
En personuppgiftsincident är en säkerhetsincident som innebär en risk för människors friheter och rättigheter. Riskerna kan innebära att organisationen förlorar kontrollen över de personuppgifter de behandlar eller att personuppgiftslämnarens rättigheter inskränks på något annat sätt.
Berättigat intresse är ett skäl att behandla personuppgifter för ett specifikt syfte utan att ha samtycke för det. Berättigat intresse krävs då att behandlingen är nödvändig för organisationen och att den registrerades intresse av skydd för uppgifterna inte väger lika tungt som behandlingen. Berättigat intresse är inte en lämplig rättslig grund för myndigheter.
En personuppgiftsincident måste rapporteras till Datainspektionen inom 72 timmar. Detta ska göras av personuppgiftsansvarig. Personuppgiftsbiträde eller underleverantör måste lämna uppgifter om personuppgiftsincidenten i god tid till ansvarig, som i sin tur anmäler till datainspektionen.
När syftet med behandlingen är avslutad, alternativt när personuppgiftslämnaren ber om detta (notera att det finns undantag för det senare, exempelvis om en skyldighet att lagra står över den enskildas rättigheter).

Ett samtycke är en frivillig, specifik och otvetydig viljeyttring där den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det är viktigt att varje specifikt samtycke registreras och sparas.
När organisationen behöver samla in personuppgifter där behandlingen inte stöds av någon av de andra lagliga grunderna. Detta är en bedömning som ska göras från fall till fall.
Företag som behöver behandla personuppgifter som inte kan stödja sin personuppgiftsbehandling i någon av de andra lagliga grunderna.
Följande kriterier gäller för giltiga samtycken.
- Personuppgiftslämnaren måste göra ett aktivt val för att godkänna ett samtycke, det får exempelvis inte finnas några förmarkerade fält i formulär.
- Behandling av personuppgifter som rör barn och ungdomar är tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för personuppgiftslämnaren.
- Det ska finnas ett separat samtycke för varje syfte.
- Giltiga samtycken får inte vara dolda i till exempel en avtalstext.
- Samtycket ska vara tydligt formulerat och måste vara frivilligt lämnat.
- Samtycket ska kunna återkallas.
- Organisationen som behandlar personuppgifter måste kunna bevisa för vad ett samtycke blivit lämnat och av vem.

Uppstartstiden kan variera beroende på önskemål men tar oftast ett par veckor.

Uppstartsprocessen innehåller: Beställning, planering, kundanpassning, leverans och uppföljning.
Tjänsten är anpassad för att leva upp till kraven i dataskyddsförordningen (GDPR). För att säkerställa detta har lösningen verifierats av advokatfirman Lindahl.
Priser sätts utifrån era förutsättningar. Ta kontakt med oss för mer information.
Personuppgiftslämnare kan identifiera sig med mobilt BankID, SMS-verifiering eller underskrift.
Alla samtycken lagras i våra två separata serverhallar i Sverige.
Inga installationer eller anpassningar krävs för att använda tjänsten. Du behöver endast tillgång till en webbläsare.
Ni får endast ett personuppgiftsbiträde då vi utvecklar och driftar tjänsten utan underleverantörer. Det finns alltså inga tredjeparter. All databehandling och lagring sker i Sverige.
Tjänsten kan integreras med alla era system. Ni får en samlingsplats för inhämtade samtycken.


Vill du veta hur samtyck.se kan hjälpa dig?

Boka en kostnadsfri demo med oss