Dataskyddsförordningen (GDPR)

GDPR (General Data Protection Regulation) är EU-förordningen som ersätter den svenska personuppgiftslagen och trädde i kraft den 25 maj 2018. Även om mycket är sig likt skärps kraven på behandling av personuppgifter. GDPR gäller alla sorters organisationer som på något sätt hanterar personuppgifter som rör fysiska personer. Dataskyddsförordningen medför även flera fördelar för den enskilde, exempelvis rätten till information, rättelse av information och radering av information bara för att nämna några. Detta innebär att transparensen för behandling av personuppgifter kommer att öka.

Frågor och svar om GDPR

GDPR/dataskyddsförordningen

GDPR (General Data Protection Regulation), även kallat dataskyddsförordningen, är det regelverk som ersatte den svenska personuppgiftslagen (PuL) den 25 maj 2018. Dataskyddsförordningen har som primärt syfte att skydda fysiska personers integritet genom att sätta ut tydligare regler för hur personuppgifter får och ska behandlas. Exempel på skillnader mellan GDPR och PuL är att reglerna har blivit tydligare avseende den enskildes rättigheter att ta del av behandlingen av personuppgifter, och att sanktionsavgifterna för behandling som strider mot regelverket har höjts. GDPR gäller i hela EU, vilket därmed kommer att bidra till att reglerna för behandlingen av personuppgifter harmoniseras i hela EU-området.
Dataskyddsförordningen gäller alla organisationer som behandlar personuppgifter, såväl offentliga som privata, och detta oberoende av storlek eller verksamhetsändamål. Detta gäller även direkt som indirekt personuppgiftsbehandling, exempelvis kan detta yttra sig då ena parten äger själva kundrelationen (den personuppgiftsansvarige) och har en underleverantör som behandlar deras personuppgifter (den som är personuppgiftsbiträde).
GDPR innehåller regler för hur personuppgifter får och ska behandlas. Personuppgiftslämnarens rättigheter har blivit är tydligare och hårdare krav ställs på organisationen som hanterar och bär ansvaret för behandlingen av personuppgifter. I förordningen stadgas de krav som ställs på den som ansvarar för personuppgifter (den personuppgiftsansvarige) samt vilka krav som ställs på den som hanterar personuppgifter för någon annans räkning (den som är personuppgiftsbiträde).
DPO står för Data Protection Officer, eller dataskyddsombud på svenska. Dataskyddsombudet övervakar behandlingen av personuppgifter i organisationen genom att se till att behandlingen ligger i linje med dataskyddsförordningen, se art 37-39 GDPR.
För att en organisation ska få kunna behandla personuppgifter krävs att organisationen kan hänvisa till en laglig grund i art 6.1 GDPR.
Det finns sex lagliga grunder. De lagliga grunderna som organisationen kan stödja sig på för behandling av personuppgifter är följande:
- Om personuppgiftslämnaren har samtyckt till behandlingen.
- Om man har tecknat avtal eller är på väg att teckna ett avtal med personuppgiftslämnaren.
- Om man har en laglig skyldighet att lagra informationen, exempelvis bokföring.
- Om behandlingen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerades liv.
- I myndighetsutövning.
- När ett berättigat intresse föreligger.

Personuppgifter

Personuppgifter är alla slags uppgifter som kan härledas till en levande fysisk person. Exempel på personuppgifter skulle kunna vara exempelvis foton, namn, personnummer och medlemsnummer. Även olika slags elektroniska enheter, så som IP-adress, räknas som personuppgift om den kan kopplas till en person.
Uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.
De organisationerna som kan stödja sig på en laglig grund för behandlingen av personuppgifter får behandla personuppgifter, så länge behandlingen ligger i linje med GDPR.
En personuppgiftsincident är en säkerhetsincident som innebär en risk för människors friheter och rättigheter. Riskerna kan innebära att organisationen förlorar kontrollen över de personuppgifter de behandlar eller att personuppgiftslämnarens rättigheter inskränks på något annat sätt.
Berättigat intresse är ett skäl att behandla personuppgifter för ett specifikt syfte utan att ha samtycke för det. Berättigat intresse krävs då att behandlingen är nödvändig för organisationen och att den registrerades intresse av skydd för uppgifterna inte väger lika tungt som behandlingen. Berättigat intresse är inte en lämplig rättslig grund för myndigheter.
En personuppgiftsincident måste rapporteras till Datainspektionen inom 72 timmar. Detta ska göras av personuppgiftsansvarig. Personuppgiftsbiträde eller underleverantör måste lämna uppgifter om personuppgiftsincidenten i god tid till ansvarig, som i sin tur anmäler till datainspektionen.
När syftet med behandlingen är avslutad, alternativt när personuppgiftslämnaren ber om detta (notera att det finns undantag för det senare, exempelvis om en skyldighet att lagra står över den enskildas rättigheter).