Lär dig mer om dataskyddsförordningen (GDPR) och vilka regler du behöver förhålla dig till

Är GDPR och dataskyddsförordningen samma sak?

Ja. GDPR är en förkortning av General Data Protection Regulation. På svenska kallas den EU:s dataskyddsförordning eller bara dataskyddsförordningen. 

Däremot är inte "dataskyddslagstiftningen" samma sak - det är ett vidare begrepp som kan syfta bredare, inte endast på GDPR.

När gäller dataskyddsförordningen?

Dataskyddsförordningen gäller för alla företag, föreningar, myndigheter, organisationer och privatpersoner som behandlar personuppgifter med anknytning till EU. Dock finns det flera undantag när en privatperson hanterar personuppgifter där GDPR inte gäller. 

Läs mer på sidan "Behandling av personuppgifter enligt GDPR - vad innebär det för er verksamhet?"

Har ni tillräcklig kunskap om dataskyddsförordningen?

För att det ska gå att bedriva dataskyddsarbetet på ett bra sätt, är det viktigt att inte bara de som sitter på ansvarsposter kan lagstiftningen. Så många som möjligt i organisationen behöver ha åtminstone grundläggande kunskaper.

Medvetenhet hos medarbetarna är en av nyckelfaktorerna för ett framgångsrikt dataskyddsarbete och en förutsättning för ett gott integritetsskydd. Dessutom finns principen om ansvarsskyldighet i GDPR. För att uppfylla denna är det viktigt att dokumentera och kunna visa upp att alla anställda som hanterar personuppgifter har fått relevant utbildning i dataskyddsfrågor. Dataskyddsombudet, om det finns ett sådant, är enligt artikel 39 i GDPR ansvarig för att utbilda berörd personal.

Vad är ansvarsskyldighet?

Ansvarsskyldighet innebär kort och gott att man inte bara ska följa lagstiftningen, utan man ska också kunna visa och bevisa att man följer lagstiftningen. Begreppet finns i artikel 5.2 i GDPR i samband med de grundläggande dataskyddsprinciperna.  

Har ni dokumenterat era personuppgifter i ett register?

Många organisationer är enligt artikel 30 i GDPR skyldiga att systematiskt dokumentera sina behandlingar av personuppgifter. Förutom att det underlättar rent praktiskt när man vill få kontroll över organisationens personuppgiftsbehandlingar så är det alltså ett uttryckligt lagkrav att dokumentera på ett strukturerat sätt. 

En sådan dokumentation ska göras i form av ett så kallat register över behandlingar, ofta också benämnt som en registerförteckning. Registret ska omfatta samtliga behandlingar av personuppgifter som organisationen utför. Det ska innehålla en beskrivning av varje behandling vad gäller bland annat syfte och innehåll. Registret ska kunna visas upp för tillsynsmyndigheten på begäran. Ett fullständigt och överskådligt register, gärna med betydligt mer information än vad som är obligatoriskt enligt GDPR, hjälper dessutom organisationen att leva upp till principen om ansvarsskyldighet.

Vill du lära dig mer om registerförteckning kan du fördjupa dig faktabladet "Arbeta med registerförteckningen över tid" och i blogginlägget "Håll er registerförteckning uppdaterad"

Grundläggande principer för behandling av personuppgifter

Det är viktigt att ha de grundläggande dataskyddsprinciperna klara för sig när man behandlar personuppgifter. Principerna utgör själva kärnan i GDPR, och de återfinns i artikel 5. Det är utifrån dem som resten av lagstiftningen ska tolkas. 

De grundläggande principerna i GDPR är:

• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning
• Uppgiftsminimering
• Riktighet
• Lagringsminimering
• Integritet och konfidentialitet

Hur väl man förhåller sig till dessa principer när man behandlar personuppgifter påverkar också vilken nivå av sanktioner som kan komma att bli aktuell. Det anses vara ett allvarligt brott mot dataskyddsförordningen att inte ta hänsyn till de grundläggande principerna. Att bryta mot dem kan ge sanktionsavgifter på den högre skalan.

Med stöd av vilken rättslig grund behandlar ni personuppgifter?

För att det ska vara tillåtet att behandla personuppgifter krävs att man har en så kallad rättslig grund för behandlingen. Laglig grund är ett annat uttryck för samma sak. I praktiken innebär detta att något av villkoren som listas nedan måste vara uppfyllt, det är en absolut förutsättning för att man som organisation över huvud taget ska få behandla någons personuppgifter.

De rättsliga grunderna är följande enligt artikel 6 i GDPR:

• Samtycke. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
• Avtalsförhållande. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
• Rättslig förpliktelse. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
• Intressen av grundläggande betydelse. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
• Allmänt intresse/Myndighetsutövning. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
• Berättigat intresse. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

De olika rättsliga grunderna kan vara mer eller mindre lämpliga att använda sig av i olika sammanhang. Det gäller att hitta den rättsliga grund som passar med den egna verksamheten och de personuppgiftsbehandlingar som man utför/planerar att utföra. Tänk också på att man inte kan byta rättslig grund för behandlingen i efterhand utan att informera de registrerade om detta. Bland annat därför är det viktigt att man tänker till och väljer rätt.

Läs mer i blogginlägget "Guide: Är berättigat intresse en lämplig rättslig grund?" och i faktabladet "10 frågor och svar om rättslig grund".

Vad krävs för ett giltigt samtycke?

Ett samtycke innebär i korthet att en person själv har sagt ja till att dennes personuppgifter behandlas. En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men i många fall är det inte lämpligt eller ens möjligt att grunda behandlingen på samtycke.

Ett samtycke ska enligt GDPR vara en "frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne" (artikel 4.11 i GDPR).
En av förutsättningarna för ett giltigt samtycke är att man som personuppgiftsansvarig kan visa att den registrerade har fått tydlig information och har gjort ett fritt, aktivt val att samtycka.

Behöver ni göra en konsekvensbedömning (DPIA)?

När er verksamhet påbörjar nya personuppgiftsbehandlingar, ska behandla uppgifter för nya ändamål eller använda ny teknik behöver ni göra en analys. Detta för att ta reda på om behandlingen kan leda till en hög risk för fysiska personers rättigheter och friheter. I GDPR kallas analysen för konsekvensbedömning, eller DPIA (förkortning för det engelska begreppet Data Protection Impact Assessment, vilket på svenska översätts till just konsekvensbedömning avseende dataskydd). 

Vissa behandlingar innebär högre risker för de registrerade, därför måste en DPIA göras i vissa fall, i andra fall är det enbart en rekommendation.

Läs mer på vår sida om konsekvensbedömningar 

Har ni rutiner för personuppgiftsincidenter?

En personuppgiftsincident innebär att personuppgifterna till en eller flera personer har utsatts för risk i samband med en säkerhetsincident av något slag. Detta gäller oavsett om det har skett avsiktligt eller av misstag. 

En personuppgiftsincident kan vara att personuppgifter som behandlas har 

• förstörts oavsiktligt eller olagligt
• tappats bort eller ändrats
• spridits eller publicerats internt eller externt
• fått åtkomst av obehöriga.
  
  

Det måste alltså vara personuppgifter inblandade för att det ska räknas som en personuppgiftsincident.

Läs mer i blogginlägget "Vad är en personuppgiftsincident?".

Behöver ni ha ett dataskyddsombud?

Det finns organisationer som måste utse dataskyddsombud enligt artikel 37.1 i GDPR. Dessa är

• myndigheter och offentliga organ
• organisationer vars kärnverksamhet innebär regelbunden och systematisk övervakning av personuppgifter i stor omfattning
• organisationer vars kärnverksamhet innebär omfattande behandling av personuppgifter som är känsliga enligt artikel 9 eller som rör fällande domar i brottmål och överträdelser enligt artikel 10.

Integritetsskyddsmyndigheten (IMY) skriver på sin webbplats att till “offentliga organ” i Sverige räknas även myndigheter och folkvalda organ: riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige. Däremot inte kommunala eller landstingsägda bolag.

Alla dataskyddsombud ska anmälas till IMY. Den som är ansvarig är organisationen. Vill du veta med om vad ett dataskyddsombud gör kan du fördjupa dig i blogginlägget "Vad gör ett dataskyddsombud?" eller i faktabladet "Dataskyddsombudets roll i organisationen".

Överföring till tredjeland

För att det ska vara tillåtet att föra över personuppgifter från EU till länder utanför EU/EES – tredjeländer – så krävs särskilda förutsättningar. Om ingen av förutsättningarna är uppfyllda så är det inte tillåtet att överföra personuppgifter till tredjeland, eftersom man då inte kan garantera tillräcklig säkerhetsnivå.

Syftet med att begränsa överföringar av personuppgifter till tredjeländer eller internationella organisationer är att säkerställa att skyddet för enskilda personers integritet inte undergrävs. Individer som omfattas av GDPR inom EU ska inte riskera att förlora det skydd som förordningen ger bara för att deras personuppgifter sätts i rörelse.

Tredjelandsöverföring är ett stort område som vi har skrivit mycket om. För att få en större förståelse kan du ladda ner faktabladet.

Läs mer i blogginlägget “Tre frågor om tredjelandsöverföring”.