Vi har samlat de vanligaste frågorna om GDPR. Här hittar du information om dataskyddsförordningen samt tips och råd för att jobba praktiskt med dataskydd.
Vill du veta om ni behandlar personuppgifter och data enligt GDPR? Ta reda på er GDPR-mognad genom att göra vårt GDPR-test:
/pillar-page-dataskyddsforordningen-gdpr-667x500.jpg)
Faktaruta
I maj 2018 började dataskyddsförordningen, även kallad GDPR, att gälla. I GDPR finns regler hur personuppgifter får hanteras i EU. Reglerna gäller hur personuppgifter får behandlas. Med behandlas menas bland annat hur personuppgifter får användas, lagras, raderas. I företag idag är det i princip omöjligt att inte behandla personuppgifter eller inte påverkas av reglerna i GDPR.
Syftet med dataskyddsförordningen är att skydda enskildas grundläggande friheter och rättigheter. Särskilt viktig är den enskildas rätt till skydd av personuppgifter.
Rätten till privatliv är förankrad i flera viktiga rättsliga dokument, bland annat den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR). I Sverige finns grundlagsstadgad rätt till skydd för den personliga integriteten i samband med behandling av personuppgifter i regeringsformen.
GDPR och dataskyddsförordningen
Ja. GDPR är en förkortning av General Data Protection Regulation. På svenska kallas den EU:s dataskyddsförordning eller bara dataskyddsförordningen.
Däremot är inte "dataskyddslagstiftningen" samma sak - det är ett vidare begrepp som kan syfta bredare, inte endast på GDPR.
Dataskyddsförordningen gäller för alla företag, föreningar, myndigheter, organisationer och privatpersoner som behandlar personuppgifter med anknytning till EU. Dock finns det flera undantag när en privatperson hanterar personuppgifter där GDPR inte gäller.
Läs mer på sidan "Behandling av personuppgifter enligt GDPR - vad innebär det för er verksamhet?"
För att det ska gå att bedriva dataskyddsarbetet på ett bra sätt, är det viktigt att inte bara de som sitter på ansvarsposter kan lagstiftningen. Så många som möjligt i organisationen behöver ha åtminstone grundläggande kunskaper.
Medvetenhet hos medarbetarna är en av nyckelfaktorerna för ett framgångsrikt dataskyddsarbete och en förutsättning för ett gott integritetsskydd. Dessutom finns principen om ansvarsskyldighet i GDPR. För att uppfylla denna är det viktigt att dokumentera och kunna visa upp att alla anställda som hanterar personuppgifter har fått relevant utbildning i dataskyddsfrågor. Dataskyddsombudet, om det finns ett sådant, är enligt artikel 39 i GDPR ansvarig för att utbilda berörd personal.
Ansvarsskyldighet innebär kort och gott att man inte bara ska följa lagstiftningen, utan man ska också kunna visa och bevisa att man följer lagstiftningen. Begreppet finns i artikel 5.2 i GDPR i samband med de grundläggande dataskyddsprinciperna.
Många organisationer är enligt artikel 30 i GDPR skyldiga att systematiskt dokumentera sina behandlingar av personuppgifter. Förutom att det underlättar rent praktiskt när man vill få kontroll över organisationens personuppgiftsbehandlingar så är det alltså ett uttryckligt lagkrav att dokumentera på ett strukturerat sätt.
En sådan dokumentation ska göras i form av ett så kallat register över behandlingar, ofta också benämnt som en registerförteckning. Registret ska omfatta samtliga behandlingar av personuppgifter som organisationen utför. Det ska innehålla en beskrivning av varje behandling vad gäller bland annat syfte och innehåll. Registret ska kunna visas upp för tillsynsmyndigheten på begäran. Ett fullständigt och överskådligt register, gärna med betydligt mer information än vad som är obligatoriskt enligt GDPR, hjälper dessutom organisationen att leva upp till principen om ansvarsskyldighet.
Vill du lära dig mer om registerförteckning kan du fördjupa dig faktabladet "Arbeta med registerförteckningen över tid" och i blogginlägget "Håll er registerförteckning uppdaterad"
Det är viktigt att ha de grundläggande dataskyddsprinciperna klara för sig när man behandlar personuppgifter. Principerna utgör själva kärnan i GDPR, och de återfinns i artikel 5. Det är utifrån dem som resten av lagstiftningen ska tolkas.
De grundläggande principerna i GDPR är:
Hur väl man förhåller sig till dessa principer när man behandlar personuppgifter påverkar också vilken nivå av sanktioner som kan komma att bli aktuell. Det anses vara ett allvarligt brott mot dataskyddsförordningen att inte ta hänsyn till de grundläggande principerna. Att bryta mot dem kan ge sanktionsavgifter på den högre skalan.
För att det ska vara tillåtet att behandla personuppgifter krävs att man har en så kallad rättslig grund för behandlingen. Laglig grund är ett annat uttryck för samma sak. I praktiken innebär detta att något av villkoren som listas nedan måste vara uppfyllt, det är en absolut förutsättning för att man som organisation över huvud taget ska få behandla någons personuppgifter.
De rättsliga grunderna är följande enligt artikel 6 i GDPR:
De olika rättsliga grunderna kan vara mer eller mindre lämpliga att använda sig av i olika sammanhang. Det gäller att hitta den rättsliga grund som passar med den egna verksamheten och de personuppgiftsbehandlingar som man utför/planerar att utföra. Tänk också på att man inte kan byta rättslig grund för behandlingen i efterhand utan att informera de registrerade om detta. Bland annat därför är det viktigt att man tänker till och väljer rätt.
Läs mer i blogginlägget "Guide: Är berättigat intresse en lämplig rättslig grund?" och i faktabladet "10 frågor och svar om rättslig grund".
Att känna till reglerna är en viktig start – men det är först när arbetet med dataskydd blir en naturlig del av vardagen som det gör verklig skillnad. Många verksamheter vill göra rätt, men saknar struktur, tid eller en tydlig metod för att hålla koll på allt.Privacy as a Service är en lösning för er som behöver stöd i det praktiska arbetet med GDPR. Ni får tillgång till verktyg, vägledning och en arbetsmodell som hjälper er att skapa ordning och trygghet i dataskyddsarbetet.Stöd i att dokumentera personuppgiftsbehandlingar enligt lagkravenStruktur för att arbeta systematiskt över tidRåd från erfarna experter inom GDPR och dataskyddHjälp att hantera frågor som DPIA, registerförteckning och incidentrutiner
GDPR
Ett samtycke innebär i korthet att en person själv har sagt ja till att dennes personuppgifter behandlas. En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men i många fall är det inte lämpligt eller ens möjligt att grunda behandlingen på samtycke.
Ett samtycke ska enligt GDPR vara en "frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne" (artikel 4.11 i GDPR).
En av förutsättningarna för ett giltigt samtycke är att man som personuppgiftsansvarig kan visa att den registrerade har fått tydlig information och har gjort ett fritt, aktivt val att samtycka.
När er verksamhet påbörjar nya personuppgiftsbehandlingar, ska behandla uppgifter för nya ändamål eller använda ny teknik behöver ni göra en analys. Detta för att ta reda på om behandlingen kan leda till en hög risk för fysiska personers rättigheter och friheter. I GDPR kallas analysen för konsekvensbedömning, eller DPIA (förkortning för det engelska begreppet Data Protection Impact Assessment, vilket på svenska översätts till just konsekvensbedömning avseende dataskydd).
Vissa behandlingar innebär högre risker för de registrerade, därför måste en DPIA göras i vissa fall, i andra fall är det enbart en rekommendation.
Läs mer på vår sida om konsekvensbedömningar
En personuppgiftsincident innebär att personuppgifterna till en eller flera personer har utsatts för risk i samband med en säkerhetsincident av något slag. Detta gäller oavsett om det har skett avsiktligt eller av misstag.
En personuppgiftsincident kan vara att personuppgifter som behandlas har
Det måste alltså vara personuppgifter inblandade för att det ska räknas som en personuppgiftsincident.
Läs mer i blogginlägget "Vad är en personuppgiftsincident?".
Det finns organisationer som måste utse dataskyddsombud enligt artikel 37.1 i GDPR. Dessa är
Integritetsskyddsmyndigheten (IMY) skriver på sin webbplats att till “offentliga organ” i Sverige räknas även myndigheter och folkvalda organ: riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige. Däremot inte kommunala eller landstingsägda bolag.
Alla dataskyddsombud ska anmälas till IMY. Den som är ansvarig är organisationen. Vill du veta med om vad ett dataskyddsombud gör kan du fördjupa dig i blogginlägget "Vad gör ett dataskyddsombud?" eller i faktabladet "Dataskyddsombudets roll i organisationen".
För att det ska vara tillåtet att föra över personuppgifter från EU till länder utanför EU/EES – tredjeländer – så krävs särskilda förutsättningar. Om ingen av förutsättningarna är uppfyllda så är det inte tillåtet att överföra personuppgifter till tredjeland, eftersom man då inte kan garantera tillräcklig säkerhetsnivå.
Syftet med att begränsa överföringar av personuppgifter till tredjeländer eller internationella organisationer är att säkerställa att skyddet för enskilda personers integritet inte undergrävs. Individer som omfattas av GDPR inom EU ska inte riskera att förlora det skydd som förordningen ger bara för att deras personuppgifter sätts i rörelse.
Tredjelandsöverföring är ett stort område som vi har skrivit mycket om. För att få en större förståelse kan du ladda ner faktabladet.
Läs mer i blogginlägget “Tre frågor om tredjelandsöverföring”.
Med vår helhetslösning för dataskydd får du den optimala kombinationen av verktyg, kompetens och metod för ett framgångsrikt resultat.
