Vanliga frågor
Det är en förkortning av General Data Protection Regulation
Dataskyddsförordningen är den svenska översättningen på GDPR, men många.
Alla verksamheter som hanterar personuppgifter berörs! Det är därför viktigt att man har rutiner och policys på plats och ser till att dessa följs, då det kan bli kännbara sanktionsavgifter om man bryter mot reglerna.
Utöver att följa dataskyddsförordningen måste verksamheter kunna påvisa att och hur bestämmelserna följs.
IMY är en förkortning av Integritetsskyddsmyndigheten, före detta Datainspektionen, och är en svensk statlig förvaltningsmyndighet som har till uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter, att underlätta det fria flödet av sådana uppgifter inom Europeiska unionen och att verka för att god sed iakttas i kreditupplysnings-och inkassoverksamhet. Myndigheten ska följa, analysera och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik.
Dataskydd för verksamheter | IMY
Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Det kan röra sig om exempelvis namn, mobilnummer, personnummer, kontonummer eller ett foto. Det finns personuppgifter som klassas som extra skyddsvärda respektive känsliga.
Med behandling av en personuppgift avses i princip allt man kan göra med personuppgifterna. Det kan till exempel vara att samla in, lagra, flytta, radera eller skriva ut uppgifterna.
Personuppgiftsansvarig är den som beslutar om att uppgifter ska samlas in samt till vilket ändamål de ska användas. I ett aktiebolag är det den juridiska personen, själva bolaget, som är personuppgiftsansvarig. Om det däremot handlar om en enskild firma eller en privatperson som hanterar uppgifter på ett sätt som faller inom ramarna för förordningen så är det den fysiska personen som är personuppgiftsansvarig.
Ett personuppgiftsbiträde är den som för personuppgiftsansvariges räkning och enligt den personuppgiftsansvariges instruktioner behandlar personuppgifter. Det kan till exempel vara en leverantör av en molntjänst eller en extern IT-supportfunktion.
GDPR anger två situationer då ett personuppgiftsbiträdesavtal behöver ingås. Första situationen rör när ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga. Den andra situationen rör när ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar. I bägge situationerna behöver bindande biträdesavtal ingås.
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.
Den personuppgiftsansvarige är skyldig att vid personuppgiftsincident inom 72 timmar anmäla incidenten till Integritetsskyddsmyndigheten (IMY). Undantag från denna skyldighet gäller om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Beslutet att inte anmäla måste då dokumenteras inför en eventuell kontroll.
En av de registrerades grundläggande rättigheter är rätten att få sina uppgifter raderade, ”bli bortglömd”. Begär en person att få sina personuppgifter raderade är utgångspunkten att ni ska radera dessa. Det finns dock några undantag när uppgifterna inte ska raderas. Undantagen blir ofta tillämpliga om den personuppgiftsansvariga är en myndighet eller utför en uppgift av allmänt intresse. Ni kan bland annat neka den registrerade radering om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet,
för att uppfylla en rättslig förpliktelse eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Oavsett om ni ska radera uppgifterna eller har ett skäl att behålla dem, ska ni återkomma till den registrerade utan onödigt dröjsmål, det vill säga senast inom en månad efter att ni har fått begäran.
De grundläggande principerna kan sägas vara kärnan i dataskyddsförordningen. Principerna innebär bland annat att ni som personuppgiftsansvariga
- måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- inte ska behandla fler personuppgifter än vad som behövs för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs
- ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
- ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det
EU anser att dess medborgares personuppgifter ska skyddas i största möjliga mån även utanför EU:s gränser. Därför omfattar lagen all behandling av EU-medborgares personuppgifter, oavsett om företaget eller organisationen som genomför behandlingen är lokaliserad inom EU eller inte. En e-handel i Kina som vänder sig till EU-medborgare omfattas således av GDPR på samma sätt som ett företag i Sverige.
Överföring av personuppgifter till tredjeland är som regel när personuppgifter görs tillgängliga för någon i ett land utanför EU/EES-området. Exempel på överföring av personuppgifter till tredjeland kan vara:
- När ni skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES.
- När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
- När ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
- När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
OBS! Att publicera något på internet är inte tredjelandsöverföring om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES.
All hantering av personuppgifter behöver uppfylla ett antal grundläggande principer vilka listas här:
- Laglighet, Korrekthet och Öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Riktighet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet
Varje personuppgiftsbehandling måste ha stöd i någon av de sex rättsliga grunderna:
- Samtycke
- Avtal med den registrerade
- Rättlig förpliktelse
- Skydda grundläggande intresse
- Myndighetsutövning och uppgift av allmänt intresse
- Intresseavvägning
Den registrerade, vars personuppgifter behandlas, har ett antal rättigheter enligt dataskyddsförordningen. Som personuppgiftsansvarig har man ett ansvar för att ha rutiner på plats för att hantera begäranden om att utöva dessa rättigheter när någon begär det.
- Rätt till information
- Rätt till tillgång
- Rätt till rättelse
- Rätt till radering
- Rätt till begränsning av behandling
- Rätt att göra invändningar
- Rätt till dataportabilitet
- Automatiserade beslut