Som företag i Sverige är du skyldig att följa den EU-reglerade förordningen om hantering av personuppgifter som kallas för GDPR. Förordningen gäller som lag i EU:s medlemsstater och EES-länder. GDPR syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter. GDPR är ett omfattande regelverk och felaktig behandling kan leda till omfattande sanktionsavgifter Juristerna på EZlegal kan bland annat hjälpa dig skriva extern och intern integritetspolicy, göra konsekvensbedömningar och skriva personuppgiftsbiträdesavtal eller underbiträdesavtal.
*En rättsutredning kan bli aktuellt i olika ärendeslag och priserna kan differentiera utifrån vilken timtaxa ditt ärendets svårighetsgrad och komplexitet påkallar. Läs mer om våra tjänster.
Den som bestämmer över behandlingen av personuppgifter kallas för personuppgiftsansvarig. Vanligtvis är det ett företag eller annan juridisk person alternativt myndighet som har samlat in de aktuella personuppgifterna och således blir personuppgiftsansvarig. Den fullständiga definitionen finns i Artikel 4.7 GDPR.
”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”
Den personuppgiftsansvarige måste aktivt arbeta för att uppfylla sina åtaganden enligt GDPR och ett inbyggt dataskydd ska vara en standard. Den personuppgiftsansvarig är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att inte bara säkerställa, utan också kunna visa att behandlingen sker i enlighet med GDPR. Detta ska ske med beaktande av behandlingens art, omfattning, sammanhang och ändamål.
Begreppet personuppgift omfattar all slags information som direkt eller indirekt kan identifiera en person. Det kan röra sig om namn, personnummer, adress, telefonnummer, privata mejladresser och foton eller ljudinspelningar. Den fullständiga definitionen av personuppgift återfinns i Artikel 4:1 GDPR och lyder:
*En rättsutredning kan bli aktuellt i olika ärendeslag och priserna kan differentiera utifrån vilken timtaxa ditt ärendets svårighetsgrad och komplexitet påkallar. Läs mer om våra tjänster.
Den svenska tillsynsmyndigheten för behandling av personuppgifter heter Integritetsskyddsmyndigheten (IMY). Deras uppgift är att bedriva tillsyn och granska efterlevnaden av dataskyddsrättsliga bestämmelser. Tillsynen bedrivs antingen genom att IMY begär skriftliga svar på sina frågor till berörda organisationer eller genomför en inspektion på plats.
Om IMY gör bedömningen att en kommande behandling riskerar att bryta eller har brutit mot dataskyddslagstiftningen kan de delar ut en varning eller reprimand. Vid allvarligare överträdelser kan IMY meddela förelägganden att vidta vissa åtgärder, samt meddela begränsningar och förbud mot en viss behandling av personuppgifter.
En organisation som gör överträdelser av GDPR kan få en sanktionsavgift som bestäms av vissa beloppsgränser. Sanktionsavgiften varierar beroende på vem som begått överträdelsen, vilken bestämmelse det gäller och hur allvarlig överträdelsen är. För företag finns det ett maxbelopp för allvarliga överträdelser om 20 miljoner euro eller 10 miljoner euro för mindre allvarliga överträdelser eller fyra respektive två procent av dess globala omsättning beroende hur allvarlig överträdelsen är. I bedömningen tar IMY hänsyn till bland annat om överträdelsen har gjort av oaktsamhet eller avsikt, hur stor skadan av överträdelsen har blivit och hur många som har drabbats.
För att förklara några av dessa sammanfattningsvis kan sägas att rätten till information innebär att den registrerade ska få information i samband med att personuppgifterna samlas in (för fullständig redogörelse se Artikel 13–14 GDPR). Några exempel på information som ska lämnas är kontaktuppgifter till den personuppgiftsansvarige och dataskyddsombudet. Den registrerade ska informeras om för vilket ändamål som personuppgifterna behandlas och vilken rättslig grund den personuppgiftsansvarige har för behandlingen. Vilken information den personuppgiftsansvarige är skyldig att lämna skiljer sig lite åt beroende på om personuppgifterna erhållits från den registrerade eller någon annan.
Rätten att få tillgång till information (eller ett s.k. registerutdrag) innebär att den registrerade har rätt att få en bekräftelse på om dennes personuppgifter behandlas och i så fall få tillgång till dessa. Den registrerade ska också få tillgång till exempelvis ändamålen för behandlingen, de kategorier av personuppgifter som behandlingen gäller, vilka som är mottagare av utlämnade personuppgifter, hur länge uppgifterna är tänkta att lagras och en kopia av de uppgifter som behandlas. Förteckningen över vilken information den registrerade har rätt att få tillgång till framgår av Artikel 15 GDPR.
Rätten till radering kallas ibland för “rätten att bli bortglömd” och finns i Artikel 17 i GDPR. Rätten till radering innebär att den personuppgiftsansvarige på den registrerades begäran är skyldig att radera dennes personuppgifter. Det finns olika förutsättningar där minst en ska vara uppfyllda för att rätten till radering ska föreligga. Några exempel på sådana förutsättningar är om den registrerade återkallar det samtycke som behandlingen grundar sig på (gäller såvida det inte föreligger någon annan rättslig grund för behandlingen), då personuppgifterna inte längre än nödvändiga för de ändamålen som de samlats in för, eller om personuppgifterna har behandlats på ett olagligt sätt.
Den som bestämmer över behandlingen av personuppgifter kallas för personuppgiftsansvarig. Vanligtvis är det ett företag eller annan juridisk person alternativt myndighet som har samlat in de aktuella personuppgifterna och således blir personuppgiftsansvarig. Den fullständiga definitionen av en personuppgiftsansvarig finns i Artikel 4.7 GDPR och lyder:
“en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,”
Den personuppgiftsansvarige måste aktivt arbeta för att uppfylla sina åtaganden enligt GDPR och ett inbyggt dataskydd ska vara en standard. Den personuppgiftsansvarige är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att inte bara säkerställa, utan också kunna visa, att behandlingen sker i enlighet med GDPR. Detta ska ske med beaktande av behandlingens art, omfattning, sammanhang och ändamål.
All personuppgiftsbehandling måste ha en berättigad grund enligt GDPR. Om det inte finns någon laglig grund för behandlingen får den inte genomföras. Några exempel på vad som anges som lagliga grunder är:
Samtycke: Samtycke innebär att den registrerade (det vill säga den fysiska personen som vars personuppgifter ska behandlas) frivilligt, antingen genom uttalande eller entydig bekräftande handling, godtar den aktuella behandlingen. Den som är personuppgiftsansvarig måste kunna visa att den registrerade samtyckt till behandlingen av det aktuella slaget. Den registrerade ska också när som helst kunna återkalla sitt samtycke och informeras om denna rättighet i samband med att samtycket lämnas.
Avtal: Personuppgiftsbehandling enligt denna rättsliga grund är laglig om den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part, eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Det ankommer på personuppgiftsansvarig att visa hur det huvudsakliga ändamålet inte skulle kunna uppnås utan behandlingen.
Rättslig förpliktelse: Personuppgiftbehandling enligt denna rättsliga grund är laglig i den mån den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Det kan exempelvis röra sig om att en operatör enligt lag är skyldig att behandla personuppgifter i brottsbekämpningssyfte. Med rättslig förpliktelse avses en förpliktelse enligt nationell rätt eller EU-rätt.
Utöver dessa grunder finns även andra lagliga grunder som Motstående intressen, Myndighetsutövning och Berättigat intresse.
Den registrerade har vissa rättigheter enligt GDPR som personuppgiftsansvarige ansvarar för att möjliggöra. Följande rättigheter återfinns i sin helhet i Kapitel 3 GDPR.
För att förklara några av dessa sammanfattningsvis kan sägas att rätten till information innebär att den registrerade ska få information i samband med att personuppgifterna samlas in (för fullständig redogörelse se Artikel 13–14 GDPR). Några exempel på information som ska lämnas är kontaktuppgifter till den personuppgiftsansvarige och dataskyddsombudet. Den registrerade ska informeras om för vilket ändamål som personuppgifterna behandlas och vilken rättslig grund den personuppgiftsansvarige har för behandlingen. Vilken information den personuppgiftsansvarige är skyldig att lämna skiljer sig lite åt beroende på om personuppgifterna erhållits från den registrerade eller någon annan.
Rätten att få tillgång till information (eller ett s.k. registerutdrag) innebär att den registrerade har rätt att få en bekräftelse på om dennes personuppgifter behandlas och i så fall få tillgång till dessa. Den registrerade ska också få tillgång till exempelvis ändamålen för behandlingen, de kategorier av personuppgifter som behandlingen gäller, vilka som är mottagare av utlämnade personuppgifter, hur länge uppgifterna är tänkta att lagras och en kopia av de uppgifter som behandlas. Förteckningen över vilken information den registrerade har rätt att få tillgång till framgår av Artikel 15 GDPR.
Rätten till radering kallas ibland för “rätten att bli bortglömd” och finns i Artikel 17 i GDPR. Rätten till radering innebär att den personuppgiftsansvarige på den registrerades begäran är skyldig att radera dennes personuppgifter. Det finns olika förutsättningar där minst en ska vara uppfyllda för att rätten till radering ska föreligga. Några exempel på sådana förutsättningar är om den registrerade återkallar det samtycke som behandlingen grundar sig på (gäller såvida det inte föreligger någon annan rättslig grund för behandlingen), då personuppgifterna inte längre än nödvändiga för de ändamålen som de samlats in för, eller om personuppgifterna har behandlats på ett olagligt sätt.
Det finns många begrepp inom GDPR som kanske låter snarlika, men har viktiga skillnader i betydelsen. För att kunna arbeta mer er databehandling på rätt sätt är det bra att kunna betydelsen av följande vanliga ord.
Uppgifter som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras med hjälp av uppgiften. Till exempel namn, personnummer, adress, telefonnummer, privata mejladresser och foton eller ljudinspelningar.
Fysisk eller juridisk person, myndighet, institution eller annat organ som är anlitad av personuppgiftsansvarig (till exempel leverantörer av IT-tjänster eller marknadsföring) som behöver behandla personuppgifter å personuppgiftsansvariges vägnar. Personuppgiftsbiträdet måste kunna lämna tillräckliga garantier för att de kan säkerställa att de når upp till kraven i GDPR. Behandling genom ett personuppgiftsbiträde ska regleras genom personuppgiftsbiträdesavtal.
Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde som ska innehålla information om föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typ av personuppgifter och kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter. Regler kring personuppgiftsbiträdesavtal finns i Artikel 28:3 GDPR.
Fysisk eller juridisk person, myndighet, institution eller annat organ som ansvarar för och beslutar om behandling av personuppgifter i en organisation. Den personuppgiftsansvarige är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att inte bara säkerställa, utan också kunna visa, att behandlingen sker i enlighet med GDPR.
Den åtgärd (eller flera åtgärder) som utförs av den registrerades personuppgifter, till exempel insamling, registrering, lagring eller läsning.
En process som ska utreda vilka konsekvenser en behandling leder till för skyddet av personuppgifter. Konsekvensbedömningen ska genomföras om det är sannolikt att en viss typ av behandling medför risk för intrång i individuella fri- och rättigheter. Konsekvensbedömning regleras i Artikel 35–36 GDPR.
Den fysiska person vars personuppgifter behandlas.
En säkerhetsincident som riskerar fysiska personers fri- och rättigheter genom att leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller åtkomst till personuppgifter. Personuppgiftsincidenter ska anmälas av den personuppgiftsansvarige till IMY inom 72 h från det att denne fick vetskap om händelsen.
© 2024 EZlegal
Tidigare reglerades den svenska personuppgiftsbehandlingen av Personuppgiftslagen (PUL). Efter att GDPR trädde i kraft år 2018 har man i Sverige valt att komplettera med lagen (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), som därmed ersatte PUL. Regler kring dataskydd förekommer även i flera författningar som exempelvis regleras dataskydd i brottsdatalagen (2018:1177), patientdatalagen (2008:355) och kamerabevakningslagen (2018:1200). Man behöver därför vara uppmärksam i sin personuppgiftsbehandling på om någon speciallagstiftning är tillämplig.
Under vissa förutsättningar ska den personuppgiftsansvarige utse ett dataskyddsombud. Dataskyddsombudets uppgift är att bistå den personuppgiftsansvarige med råd och information samt övervaka efterlevnaden av GDPR och interna rutiner för dataskydd. Ett dataskyddsombud ska utses i offentliga organ och om kärnverksamhetens behandling kräver regelbunden, systematisk och omfattande övervakning av de registrerade, eller om man behandlar känsliga personuppgifter eller uppgifter om brott. Att ha ett dataskyddsombud innebär inte att den personuppgiftsansvarige överlåter sitt ansvar, utan dataskyddsombudets roll är granskande och rådgivande. Dataskyddsombudet är kontaktperson för såväl de registrerade, personal i organisationen och är den person som Integritetsskyddsmyndigheten (IMY) har kontakt med vid eventuella inspektioner.
Principerna för behandling av personuppgifter framgår av artikel 5 i GDPR. Genom principerna slås det fast att all behandling av personuppgifter ska präglas av:
Laglighet, korrekthet och öppenhet
All behandling ska ske i enlighet med dataskyddsförordningen och tillämplig nationell rätt. Uppgifterna får inte vara felaktiga och ska därför uppdateras när det är nödvändigt. Om en uppgift är felaktig ska den rättas eller raderas utan dröjsmål. Behandlingen ska vara transparant gentemot den registrerade som uppgifterna berör. Denne ska vidare få erhålla den information man har rätt till enligt GDPR.
Ändamålsbegränsning
Uppgifterna ska samlas in för särskilda ändamål. Dessa ändamål ska vara berättigade och uttryckligt angivna. Om uppgifterna samlats in för vissa ändamål, får de inte senare behandlas på ett sätt som strider mot de ursprungliga ändamålen för behandlingen.
Uppgiftsminimering
Detta är en slags proportionalitetsprincip som innebär att behandling av personuppgifter endast får ske i den utsträckning det är nödvändigt för att uppnå ändamålet för behandlingen.
Integritet och konfidentialitet
Det innebär att behandlingen i möjligaste mån ska försvåra identifiering av den registrerade och att uppgifterna ska gallras så fort som möjligt. Undantag för arkivändamål finns.
Ansvarsskyldighet
Ansvarsskyldighet innebär att den personuppgiftsansvarige ansvarar för att ovan principer efterlevs.
Begreppet personuppgift omfattar all slags information som direkt eller indirekt kan identifiera en person. Det kan röra sig om namn, personnummer, adress, telefonnummer, privata mejladresser och foton eller ljudinspelningar. Den fullständiga definitionen av personuppgift återfinns i Artikel 4:1 GDPR och lyder:
“varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”
Den vida definitionen av begreppet medför att det mesta kan anses vara en personuppgift och således omfattas av dataskyddet. Det innebär att även annan typ av information än det som uppräknades ovan, till exempel fysiologiska faktorer, IP-adress, bostadsort eller ett registreringsnummer på en bil under vissa förutsättningar kan betraktas som en personuppgift, om kompletterande information medför att personen kan identifieras.