Den som är personuppgiftsansvarig enligt GDPR måste se till att företaget eller organisationen behandlar personuppgifter i enlighet med GDPR (Dataskyddsförordningen).
Det kan vara både en fysisk eller juridisk person, institution, annat offentligt organ eller en offentlig myndighet som är personuppgiftsansvarig eller personuppgiftsbiträde.
Det finns särskilda skyldigheter enligt GDPR för de som behandlar personuppgifter. Om behandlingen sker i strid med GDPR, är konsekvensen stora böter och skadeståndsbelopp. Straffet vid brott mot GDPR varierar även beroende på företagets eller organisationens storlek.
Personuppgiftsansvarig enligt GDPR och personuppgiftsbiträde
Personuppgiftsansvarig enligt GDPR är den som bestämmer för vilka ändamål uppgifterna ska bli behandlade och hur behandlingen ska gå till. Det är vanligtvis företaget som sådant som är personuppgiftsansvarig.
Det måste dessutom finnas en rättslig grund till att lagra varje enskild personuppgift. Det är alltså inte tillåtet att lagra personuppgifter utan något syfte eller rättslig grund. Varje företag och organisation ska dessutom utse en kontaktperson för personuppgiftsärenden. Det är då kontaktpersonen som ska ha hand om ärenden kring GDPR.
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det kan exempelvis vara en redovisningskonsult, ekonomisystem, hosting-leverantör, serviceföretag osv. som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige, för dennes räkning.
Det går att överlåta den faktiska behandlingen av personuppgifter på någon annan. Men det är den personuppgiftsansvariga som har det yttersta ansvaret, som inte går att överlåta till någon annan.
När en personuppgiftsansvarig enligt GDPR anlitar ett personuppgiftsbiträde, måste parterna skriva ett så kallat personuppgiftsbiträdesavtal med varandra.
Rättslig grund för behandling av personuppgifter
Enligt GDPR måste det finnas en så kallad rättslig grund vid varje enskild personuppgiftsbehandling. Rättslig grund kan bli inhämtad genom: samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse eller grundläggande intresse.
- Samtycke kan bli inhämtat genom att den registrerade personen har godkänt personuppgiftsbehandlingen. Det kan exempelvis ske genom att personen kryssar i en ruta och lämnar sitt aktiva godkännande. Samtycke bör dock inte bli använd som rättslig grund, om det finns möjlighet att använda någon annan av nedanstående grunder.
- Avtal som rättslig grund gäller om företaget har ingått ett avtal med den registrerade personen. Då förutsätter man att personen förstår att dennes personuppgifter kommer att bli behandlade, för att företaget ska kunna uppfylla förpliktelserna enligt avtalet och genomföra det som parterna har avtalat. Detta är den främst rekommenderade rättsliga grunden att använda vid behandling av personuppgifter, om det finns möjlighet till det.
- Intresseavvägning innebär att företaget får behandla den registrerades personuppgifter utan dennes samtycke, om företagets intressen väger tyngre och om behandlingen är nödvändig för ändamålet med behandlingen. Denna rättsliga grund bör användas sparsamt, med försiktighet och bör vara motiverad.
- Rättslig förpliktelse innebär att uppgifternas får bli behandlade eftersom de är nödvändiga för att företaget ska uppfylla sina rättsliga förpliktelser, enligt lagar och regler som gäller för verksamheten. Ett vanligt exempel på detta är att uppgifterna behöver bli sparade i enlighet med bokföringslagen.
- Myndighetsutövning och uppgift av allmänt intresse innebär att företaget måste behandla uppgifterna för att utföra myndighetsuppgifter eller en uppgift av allmänt intresse.
- Grundläggande intresse innebär att företaget måste behandla personuppgiften ifråga för att skydda en registrerad som inte kan lämna sitt samtycke.
Personuppgiftsansvarig enligt GDPR måste följa reglerna
Alla företag, organisationer och offentliga organ måste följa reglerna i enlighet med GDPR, som gäller i hela EU. Konsekvenserna annars är höga bötesbelopp som i värsta fall kan uppgå till 20 miljoner EURO.
Här kan du läsa mer om konsekvenserna av att inte följa GDPR.
För att följa GDPR måste företaget, organisationen eller myndigheten bland annat ha vissa avtal. Exempelvis dataskyddspolicy (integritetspolicy), peronuppgiftsbiträdesavtal, olika interna rutiner, loggböcker och en förteckning över personuppgiftsbehandlingen.
Dessutom finns det en rad andra regler som måste bli beaktade. Exempelvis måste gallring (radering) ske av personuppgifter som inte längre är nödvändiga. Om en personuppgiftsincident inträffar, måste det bli anmält till Integritetsskyddsmyndigheten inom 72 timmar samt loggföras.
Syftet med GDPR är att skydda privatpersoners personuppgifter som blir mer och mer tillgängliga för andra i takt med att samhället blir digitaliserat. Det finns både fördelar med GDPR och en del nackdelar med GDPR enligt vissa företag.
Vi på Digitala Juristerna arbetar enbart med att skriva och granska avtal till företag och företagare på distans till fasta priser
Kontakta oss
Avtal för GDPR
Vi skriver alla de avtal som du behöver i enlighet med GDPR. Dessutom har vi fasta priser och det ingår alltid samtal och genomgång med jurist i priserna.
GDPR trädde i kraft i maj 2018 och Integritetsskyddsmyndigheten som är tillsynsmyndigheten som ska granska alla företag, organisationer och myndigheter. Det är även dit du kan vända dig, om du anser att någon inte följer GDPR. Du kan också kontakta den personuppgiftsansvarige direkt och försöka lösa det internt.
Har du redan alla GDPR avtal, men behöver få de granskade? Mejla dem till granskning@digitalajuristerna.se så återkommer vi med en prisoffert. Vi måste först se omfattningen och hur mycket som eventuellt måste bli kompletterat, för att ge dig ett fastpris för arbetet. Vi går också igenom andra viktiga regler som du måste tänka på enligt GDPR vid genomgången per telefon.
