Den nya Dataskyddsförordningen trädde i kraft 2018-05-25, komplett med hot om böter i fantasiformat. Vad behöver du veta om GDPR för att kunna förhålla dig till den nya lagen?

Ambitionen med nedanstående material är att ge Multisofts kunder enkla svar på vanliga frågor om Dataskyddsförordningen. Om du inte redan är kund men ändå har nytta av informationen, så är det en bonus!

Jan Garefelt, gdpr@multisoft.se

Informationen uppdateras fortlöpande.

Vad är GDPR? Vad är Dataskyddsförordningen?

GDPR utläses General Data Protection Regulation och är en ny lag som gäller över hela EU från och med 2018-05-25. Översatt till svenska så blir GDPR Dataskyddsförordningen.

I Sverige kommer GDPR att ersätta Personuppgiftslagen (PUL). Syftet med Dataskyddsförordningen är att enskilda ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett regelverk när de verkar i flera EU-länder.

Dataskyddsförordningen kommer att kompletteras med nationella regler, bland annat med avseende på barns möjligheter att själva lämna samtycke till lagring och behandling av deras personuppgifter.

Vad handlar Dataskyddsförordningen om?

Dataskyddsförordningen handlar framförallt om:

  • Hur och när personuppgifter får hanteras
  • Vilka krav som ställs på den som ansvarar för personuppgifter (“Personuppgiftsansvarig”)
  • Vilka krav som ställs på den som hanterar personuppgifter för annans räkning (“Personuppgiftsbiträde”)

Vad är en personuppgift?

All information som direkt eller indirekt går att koppla till en enskild individ (som lever!) är personuppgifter.

Här är några exempel på sånt som är personuppgifter om de kan knytas till en enskild person som är i livet:

  • Namn, adress och andra kontaktuppgifter
  • Bilder och ljudupptagningar
  • IP-nummer
  • Anställningsnummer
  • Registreringsnummer

En indirekt personuppgift är något som inte kan knytas till en enskild person direkt, men som ändå berättar något om person. Exempelvis kan en uppgift om en avliden persons etniska tillhörighet räknas som en personuppgift som handlar om en annan (levande!) person om de delar ett ovanligt efternamn.

Vilka organisationer måste följa Dataskyddsförordningen?

Den som lagrar eller behandlar information om identifierbara fysiska personer inom EU ska följa Dataskyddsförordningen.

Det finns några undantag, bland annat:

  • vissa myndigheter
  • privatpersoner som behandlar personuppgifter för privat bruk

Gäller Dataskyddsförordningen privatpersoner?

Både ja och nej: dataskyddsförordningen gäller inte alltid privatpersoner.

Dataskyddsförordningen gäller inte för privatpersoner när det handlar om sånt som är av rent privat natur (eller som har samband med personens hushåll).

Men om personen exempelvis har en blogg som innehåller personuppgifter, ja då gäller (naturligtvis) GDPR!

Gäller Dataskyddsförordningen myndigheter?

Både ja och nej: Dataskyddsförordningen gäller vissa myndigheter, men inte andra. 

Dataskyddsförordningen gäller inte polisen och andra myndigheter om uppgifterna ingår i brottsbekämpande verksamhet. Förordningen gäller heller inte säkerhets- och underrättelsetjänster.

Men dataskyddsförordningen gäller alla andra myndigheter.

Vilka inom min organisation bör känna till Dataskyddsförordningen?

De högsta beslutsfattarna inom din organisation bör känna till Dataskyddsförordningen.

Framförallt bör de informera sig om vilka krav som Dataskyddsförordningen ställer på organisationen, och vilka konsekvenser det kan bli av att inte följa lagen.

Vad bör min organisation göra för att bli redo för Dataskyddsförordningen?

Den första åtgärden bör vara att inventera och dokumentera all hantering av personuppgifter inom din organisation.

Alla senare åtgärder bygger på att du vet vilka personuppgifter som används, samt i vilka syften de används. Detta arbete är ingen engångsinsats; Dataskyddsförordningen kräver att din organisation kontinuerligt underhåller dokumentation över vilka personuppgifter ni lagrar, behandlar och använder.

Hur inventerar man sin användning och lagring av personuppgifter?

Se först till att du har en bruttolista över vilka av dina system som lagrar och/eller hanterar personuppgifter inom din organisation. Bruttolistan bör innehålla systemens namn och namnet på den som affärsmässigt ansvarar för systemet. Kom ihåg att även manuella processer och rutiner ska följa Dataskyddsförordningen.

Bruttolistan använder du som bas för det fortsatta inventeringsarbetet, som går ut på att dokumentera vilken information ni behandlar respektive i vilka syften som informationen behandlas.

Hur inventerar man “lagliga grund(er) för hantering av personuppgifter”?

När du har överblick över vilka personuppgifter som hanteras inom din organisation (och i vilka syften informationen hanteras!) så behöver du dokumentera varför lagring och behandling av personuppgifter är laglig.

När du listar vilka lagliga grunder som din organisation har för lagring/behandling, så är det lämpligt att utgå från listan över personuppgifter och vilka syften de används i. De vanligast förekommande lagliga grunderna är:

1. Samtycke. (Du har den registrerade personens samtycke till lagring/behandling.)
2. Avtal. (Du har ett avtal med den registrerade personen, eller avsikt att ingå ett avtal.)
3. Rättslig förpliktelse. (När annan lag säger att du måste registrera/behandla personuppgifter).
4. “Berättigat intresse”. (När du har en bra anledning som väger tyngre än den registrerades rätt att slippa behandlingen.)

Listan över vilka lagliga grunder din organisation har för behandling av personuppgifter bör tas fram i samarbete mellan verksamhetsexperter och personer som är kunniga specifikt på Dataskyddsförordningen. Listan över vilka lagliga grunder som din organisation stödjer sig på är ett levande dokument som kan behöva underhåll.

Det finns ytterligare två lagliga grunder, men de är främst avsedda för myndigheter, forskningsinstitutioner mm:

5. “Skydd av grundläggande intresse”. (När människoliv är hotade.)
6. “Allmänt intresse” eller “som led i myndighetsutövning. (Relevant för myndigheter och forskningsinstitutioner.)

Måste jag göra riskbedömningar av min hantering av personuppgifter?

Ja, du måste göra en riskbedömning av din hantering av personuppgifter!

Riskbedömningen gör du i samband med att du inventerar personuppgifter och deras användning inom din organisation. Alla organisationer som hanterar känsliga personuppgifter i stor skala, eller som har en omfattande övervakning av de registrerade ska uppfylla särskilda krav enligt Dataskyddsförordningen. Gör ni det, så måste ni:

  • samråda med Datainspektionen innan ni påbörjar en ny hantering av personuppgifter av som innebär stora integritetsrisker
  • göra konsekvensbedömningar för tänkbara (olycks)scenarion
  • utse ett dataskyddsombud

Måste jag göra konsekvensbedömningar för min hantering av personuppgifter?

Innan du påbörjar en ny behandling som innebär stora integritetsrisker, så måste du göra en konsekvensbedömning. Konsekvensbedömningar beskrivs i Dataskyddsförordningens Artikel 35.

Vad behöver jag göra i samband med en personuppgiftsincident?

Om incidenten kan leda till att de registrerade utsätts för allvarliga risker, så måste din organisation underrätta Datainspektionen om så är möjligt inom 72 timmar från upptäckten. I vissa fall måste även de registrerade underrättas om riskerna. Detta regleras i Dataskyddsförordningens artiklar 33 och 34.

I samband med att personuppgiftsincident inträffar i din organisation, så kan Datainspektionen göra en tillsyn av din verksamhet. I det läget är din dokumentation en viktig försäkring för att minska risken för tunga lagliga sanktioner.

Vilken information måste jag ge till de som är registrerade i mitt system?

En central del i Dataskyddsförordningen är att de registrerade (som huvudregel) har rätt att bli informerade om:

  • att de är registrerade
  • vilket syfte eller vilken rättslig grund som finns för registreringen
  • hur länge personuppgifterna lagras
  • att det går att lämna klagomål till Datainspektionen

Vilka rättigheter har registrerade enligt Dataskyddsförordningen?

De viktigaste rättigheterna för registrerade personer:

  • rätt till information om behandlingen
  • rätt att få tillgång till sina personuppgifter
  • rätt att få felaktiga uppgifter rättade
  • rätt att få sina personuppgifter raderade
  • rätt att invända mot att personuppgifterna används
  • rätt till begränsning av behandling
  • rättigheter kopplade till automatiserat beslutsfattande och profilering
  • rätt att få ut personuppgifter i maskinläsbart format (dataportabilitet)

Din organisation och dina system måste tillsammans kunna uppfylla kraven ovan.

Behöver jag ha någon särskild hantering av barns personuppgifter?

Ja, hantering av barns personuppgifter kräver specialbehandling. Barn kan enligt Dataskyddsförordningen inte själva samtycka till lagring och användning av sina personuppgifter, istället krävs vårdnadshavarnas samtycke. När du informerar barn om saker som har med Dataskyddsförordningen att göra så måste du göra det på ett så enkelt sätt att barnen förstår.

Det är ditt ansvar att se till att alla samtycken du hänvisar till är giltiga, så om du helt eller delvis riktar dig till barn så behöver du på något sätt kunna skilja på vilka som är barn och vilka som är vuxna.

Enligt Dataskyddsförordningen räknas man som barn tills man fyllt 16 år, men Sverige kan välja att sänka gränsen till, som yngst, 13 år. (Detta kommer troligen att bestämmas i maj 2017.)

Måste min organisation ha ett dataskyddsombud?

Du måste utse ett formellt dataskyddsombud om:

  • du är en myndighet (utom vissa…)
  • du behandlar särskilt känsliga personuppgifter
  • du i din verksamhet övervakar enskilda personer

Du kan utse ett dataskyddsombud även om Dataskyddsförordningen inte kräver det av dig och din organisation, men tänk på att ett formellt dataskyddsombud har ett särskilt anställningsskydd i frågor som gäller rollen som dataskyddsombud. (Detta regleras i Dataskyddsförordningens artikel 38.)

Relaterade inlägg

AI
Guide
7 september 2021

Så kommer du enkelt igång med AI

Läs och ladda ner vår guide om hur du kommer igång med AI!
softadmin
Guide
7 september 2021

Byt ut din Excel mot en systemlösning

Automatisering nämns ofta i samma andetag som digitalisering. Ofta blandas de ihop i tro...