Lär dig mer om dataskyddsförordningen (GDPR) och vilka regler du behöver förhålla dig till

På denna sida hittar du

Faktaruta: Dataskyddsförordningen (GDPR)

I maj 2018 började dataskyddsförordningen, även kallad GDPR, att gälla. I GDPR finns regler hur personuppgifter får hanteras i EU. Reglerna gäller hur personuppgifter får behandlas. Med behandlas menas bland annat hur personuppgifter får användas, lagras, raderas. I företag idag är det i princip omöjligt att inte behandla personuppgifter eller inte påverkas av reglerna i GDPR.

Syftet med dataskyddsförordningen är att skydda enskildas grundläggande friheter och rättigheter. Särskilt viktig är den enskildas rätt till skydd av personuppgifter.

Rätten till privatliv är förankrad i flera viktiga rättsliga dokument, bland annat den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR). I Sverige finns grundlagsstadgad rätt till skydd för den personliga integriteten i samband med behandling av personuppgifter i regeringsformen.

Är GDPR och dataskyddsförordningen samma sak?

Ja. GDPR är en förkortning av General Data Protection Regulation. På svenska kallas den EU:s dataskyddsförordning eller bara dataskyddsförordningen.

Däremot är inte "dataskyddslagstiftningen" samma sak - det är ett vidare begrepp som kan syfta bredare, inte endast på GDPR.

När gäller dataskyddsförordningen?

Dataskyddsförordningen gäller för alla företag, föreningar, myndigheter, organisationer och privatpersoner som behandlar personuppgifter med anknytning till EU. Dock finns det flera undantag när en privatperson hanterar personuppgifter där GDPR inte gäller.

Läs mer på sidan "Behandling av personuppgifter enligt GDPR - vad innebär det för er verksamhet?"

Har ni tillräcklig kunskap om dataskyddsförordningen?

För att det ska gå att bedriva dataskyddsarbetet på ett bra sätt, är det viktigt att inte bara de som sitter på ansvarsposter kan lagstiftningen. Så många som möjligt i organisationen behöver ha åtminstone grundläggande kunskaper.

Medvetenhet hos medarbetarna är en av nyckelfaktorerna för ett framgångsrikt dataskyddsarbete och en förutsättning för ett gott integritetsskydd. Dessutom finns principen om ansvarsskyldighet i GDPR. För att uppfylla denna är det viktigt att dokumentera och kunna visa upp att alla anställda som hanterar personuppgifter har fått relevant utbildning i dataskyddsfrågor. Dataskyddsombudet, om det finns ett sådant, är enligt artikel 39 i GDPR ansvarig för att utbilda berörd personal.

Vad är ansvarsskyldighet?

Ansvarsskyldighet innebär kort och gott att man inte bara ska följa lagstiftningen, utan man ska också kunna visa och bevisa att man följer lagstiftningen. Begreppet finns i artikel 5.2 i GDPR i samband med de grundläggande dataskyddsprinciperna.

Har ni dokumenterat era personuppgifter i ett register?

Många organisationer är enligt artikel 30 i GDPR skyldiga att systematiskt dokumentera sina behandlingar av personuppgifter. Förutom att det underlättar rent praktiskt när man vill få kontroll över organisationens personuppgiftsbehandlingar så är det alltså ett uttryckligt lagkrav att dokumentera på ett strukturerat sätt.

En sådan dokumentation ska göras i form av ett så kallat register över behandlingar, ofta också benämnt som en registerförteckning. Registret ska omfatta samtliga behandlingar av personuppgifter som organisationen utför. Det ska innehålla en beskrivning av varje behandling vad gäller bland annat syfte och innehåll. Registret ska kunna visas upp för tillsynsmyndigheten på begäran. Ett fullständigt och överskådligt register, gärna med betydligt mer information än vad som är obligatoriskt enligt GDPR, hjälper dessutom organisationen att leva upp till principen om ansvarsskyldighet.

Vill du lära dig mer om registerförteckning kan du fördjupa dig faktabladet "Arbeta med registerförteckningen över tid" och i blogginlägget "Håll er registerförteckning uppdaterad"

Grundläggande principer för behandling av personuppgifter

Det är viktigt att ha de grundläggande dataskyddsprinciperna klara för sig när man behandlar personuppgifter. Principerna utgör själva kärnan i GDPR, och de återfinns i artikel 5. Det är utifrån dem som resten av lagstiftningen ska tolkas.

De grundläggande principerna i GDPR är:

Laglighet, korrekthet och öppenhet
Ändamålsbegränsning
Uppgiftsminimering
Riktighet
Lagringsminimering
Integritet och konfidentialitet

Hur väl man förhåller sig till dessa principer när man behandlar personuppgifter påverkar också vilken nivå av sanktioner som kan komma att bli aktuell. Det anses vara ett allvarligt brott mot dataskyddsförordningen att inte ta hänsyn till de grundläggande principerna. Att bryta mot dem kan ge sanktionsavgifter på den högre skalan.

Med stöd av vilken rättslig grund behandlar ni personuppgifter?

För att det ska vara tillåtet att behandla personuppgifter krävs att man har en så kallad rättslig grund för behandlingen. Laglig grund är ett annat uttryck för samma sak. I praktiken innebär detta att något av villkoren som listas nedan måste vara uppfyllt, det är en absolut förutsättning för att man som organisation över huvud taget ska få behandla någons personuppgifter.

De rättsliga grunderna är följande enligt artikel 6 i GDPR:

Samtycke. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
Avtalsförhållande. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
Rättslig förpliktelse. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Intressen av grundläggande betydelse. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
Allmänt intresse/Myndighetsutövning. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Berättigat intresse. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

De olika rättsliga grunderna kan vara mer eller mindre lämpliga att använda sig av i olika sammanhang. Det gäller att hitta den rättsliga grund som passar med den egna verksamheten och de personuppgiftsbehandlingar som man utför/planerar att utföra. Tänk också på att man inte kan byta rättslig grund för behandlingen i efterhand utan att informera de registrerade om detta. Bland annat därför är det viktigt att man tänker till och väljer rätt.

Läs mer i blogginlägget "Guide: Är berättigat intresse en lämplig rättslig grund?"

Faktablad: Arbeta med registerförteckningen över tid

Hanterar din organisation personuppgifter? Förmodligen gör ni det, och enligt artikel 30 GDPR måste alla behandlingar dokumenteras i en registerförteckning.

Många tycker det är svårt att veta vilken typ av information som ska vara med i registret över behandlingar. I små organisationer kan man ibland klara sig med ett enklare dokument, men sådana lösningar är både tidskrävande och riskfyllda, i synnerhet för större och mer komplexa organisationer.

Ladda ner faktabladet

Faktablad: DPIA - riskanalys eller konsekvensbedömning?

Ibland räcker det att göra en enklare riskanalys, men i många fall behövs en så kallad konsekvensbedömning avseende dataskydd, ofta kallat en DPIA – Data Protection Impact Assessment. I detta faktablad får du svar på frågor som:

När måste en DPIA genomföras?
Vad måste en DPIA innehålla?
Hur kan konsekvensbedömningar integreras i organisationens utvecklingsarbete?
Vem gör vad i arbetsprocessen?

Ladda ner faktabladet

Vad krävs för ett giltigt samtycke?

Ett samtycke innebär i korthet att en person själv har sagt ja till att dennes personuppgifter behandlas. En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men i många fall är det inte lämpligt eller ens möjligt att grunda behandlingen på samtycke.

Ett samtycke ska enligt GDPR vara en "frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne" (artikel 4.11 i GDPR).
En av förutsättningarna för ett giltigt samtycke är att man som personuppgiftsansvarig kan visa att den registrerade har fått tydlig information och har gjort ett fritt, aktivt val att samtycka.

Behöver ni göra en konsekvensbedömning (DPIA)?

När er verksamhet påbörjar nya personuppgiftsbehandlingar, ska behandla uppgifter för nya ändamål eller använda ny teknik behöver ni göra en analys. Detta för att ta reda på om behandlingen kan leda till en hög risk för fysiska personers rättigheter och friheter. I GDPR kallas analysen för konsekvensbedömning, eller DPIA (förkortning för det engelska begreppet Data Protection Impact Assessment, vilket på svenska översätts till just konsekvensbedömning avseende dataskydd).

Vissa behandlingar innebär högre risker för de registrerade, därför måste en DPIA göras i vissa fall, i andra fall är det enbart en rekommendation.

Läs mer i blogginlägget "Vad innebär DPIA och när behövs det?" och i faktabladet "DPIA - riskanalys eller konsekvensbedömning"

Har ni rutiner för personuppgiftsincidenter?

En personuppgiftsincident innebär att personuppgifterna till en eller flera personer har utsatts för risk i samband med en säkerhetsincident av något slag. Detta gäller oavsett om det har skett avsiktligt eller av misstag.

En personuppgiftsincident kan vara att personuppgifter som behandlas har

förstörts oavsiktligt eller olagligt
tappats bort eller ändrats
spridits eller publicerats internt eller externt
fått åtkomst av obehöriga.

Det måste alltså vara personuppgifter inblandade för att det ska räknas som en personuppgiftsincident.

Läs mer i blogginlägget "Vad är en personuppgiftsincident?" eller i faktabladet "Så hanterar du personuppgiftsincidenter".

Behöver ni ha ett dataskyddsombud?

Det finns organisationer som måste utse dataskyddsombud enligt artikel 37.1 i GDPR. Dessa är

myndigheter och offentliga organ
organisationer vars kärnverksamhet innebär regelbunden och systematisk övervakning av personuppgifter i stor omfattning
organisationer vars kärnverksamhet innebär omfattande behandling av personuppgifter som är känsliga enligt artikel 9 eller som rör fällande domar i brottmål och överträdelser enligt artikel 10.

Integritetsskyddsmyndigheten (IMY) skriver på sin webbplats att till “offentliga organ” i Sverige räknas även myndigheter och folkvalda organ: riksdagen, kommunfullmäktige, landstingsfullmäktige och regionfullmäktige. Däremot inte kommunala eller landstingsägda bolag.

Alla dataskyddsombud ska anmälas till IMY. Den som är ansvarig är organisationen. Vill du veta med om vad ett dataskyddsombud gör kan du fördjupa dig i blogginlägget "Vad gör ett dataskyddsombud?" eller i faktabladet "Dataskyddsombudets roll i organisationen".

Överföring till tredjeland

För att det ska vara tillåtet att föra över personuppgifter från EU till länder utanför EU/EES – tredjeländer – så krävs särskilda förutsättningar. Om ingen av förutsättningarna är uppfyllda så är det inte tillåtet att överföra personuppgifter till tredjeland, eftersom man då inte kan garantera tillräcklig säkerhetsnivå.

Syftet med att begränsa överföringar av personuppgifter till tredjeländer eller internationella organisationer är att säkerställa att skyddet för enskilda personers integritet inte undergrävs. Individer som omfattas av GDPR inom EU ska inte riskera att förlora det skydd som förordningen ger bara för att deras personuppgifter sätts i rörelse.

Tredjelandsöverföring är ett stort område som vi har skrivit mycket om. För att få en större förståelse kan du ladda ner faktabladet.

Läs mer i blogginläggen "Standardklausuler” och “Tre frågor om tredjeland” eller i faktabladet "Din guide för överföring till tredjeland"

Faktablad: Så hanterar du personuppgiftsincidenter

Organisationer är enligt GDPR skyldiga att ha nödvändiga rutiner för att upptäcka och utreda misstänkta incidenter. Vissa incidenter måste anmälas till Integritetsskyddsmyndigheten, medan det i andra fall räcker med att utreda och dokumentera internt vad som hänt.

Med detta faktablad hoppas vi ge dig en bättre insikt i hur du ska handskas med personuppgiftsincidenter på din arbetsplats.

Ladda ner faktabladet

Faktablad: Dataskyddsombudets roll i organisationen

Många företag och offentliga myndigheter måste utse ett dataskyddsombud enligt GDPR.

Men vilka typer av företag har en laglig skyldighet att utse en DPO?
Och vilka är egentligen ombudets uppgifter?
Vem skulle passa som DPO för er organisation?
I det här faktabladet finns svar på dessa frågor och många fler. Läs igenom inför nästa ledningsgruppsmöte och dela kunskap med din organisation!

Ladda ner faktabladet

Faktablad: Din guide för överföring till tredjeland

Med Schrems II-domen blev det tydligt att reglerna för överföring till tredjeland kräver åtgärder hos många verksamheter. Helt plötsligt blir hantering utanför EU ett osäkert kort, och därför blir det extra viktigt att veta vad GDPR och andra dataskyddsregler säger i dessa situationer.

Denna utmaning ska vi försöka reda ut och förtydliga i detta faktablad om just tredjelandsöverföring, där du bland annat får svar på:

Vad räknas som tredjeland?
Hur kan en överföring göras laglig?
Vad gäller egentligen för överföringar till USA?

Ladda ner faktabladet