Sammanfattning av GDPR (dataskyddsförordningen)
I den här artikeln kommer vi att ge en sammanfattning av GDPR (Dataskyddsförordningen) för att hjälpa dig förstå dess betydelse. GDPR är en EU-förordning som började gälla i maj 2018 och ersatte det tidigare gällande Dataskyddsdirektivet från 1995. GDPR är en förkortning “the General Data Protection Regulation”, vilket är dess fullständiga beteckning.
Information och sammanfattning av GDPR (Dataskyddsförordningen)
För dem som är nya på området, erbjuder denna artikel en tydlig sammanfattning av GDPR (Dataskyddsförordningen).
Alla företag, inklusive enskilda näringsidkare, måste följa bestämmelserna i GDPR vid behandling av personuppgifter som tillhör EU medborgare. Kravet gäller oavsett företagets storlek eller omsättning. Detta innebär att även små och medelstora företag är skyldiga att följa bestämmelserna i GDPR vid behandling av sådana personuppgifter.
Även enskilda näringsidkare, offentliga organ (såsom myndigheter och kommuner) och andra typer av organisationer (exempelvis föreningar) måste följa regelverket.
Som företagare kan det vara utmanande att hålla reda på alla aspekter av GDPR och vad det innebär för verksamheten i praktiken. Det är ett omfattande regelverk med många detaljer att ta hänsyn till.
För dem som är nya på området, erbjuder denna artikel en tydlig sammanfattning av GDPR (Dataskyddsförordningen). Sammanfattningen kan även vara till hjälp för att få en grundläggande förståelse av regelverket och syftet med GDPR.
Länkar i denna sammanfattning av GDPR (dataskyddsförordningen)
På webbplatsen www.AvtalGDPR, kan du läsa mer detaljerad information om GDPR. Webbplatsen är en del av Digitala Juristerna där mycket information om GDPR finns samlat på ett ställe. Ett flertal länkar på denna hemsida leder till www.AvtalGDPR.se och vissa länkar leder till denna webbplats.
Syftet med GDPR
Det finns flera olika huvudsakliga syften med GDPR, några utav dessa är att:
Skydda individens rättigheter
Genom GDPR får individer mer kontroll över sina personuppgifter. Regelverket ger individer mer rätt att bestämma över hur personuppgifterna får bli använda, delade och lagrade. Dessutom förekommer tydliga regler om individers rättigheter. Exempelvis rätten att få tillgång till sina personuppgifter, rätten att bli raderad (“rätten att bli bortglömd”) och rätten att göra invändningar mot behandlingen.
Harmonisera dataskyddslagarna inom EU
Tidigare nationella dataskyddslagar inom EU har blivit ersatta av GDPR. Detta har skapat en gemensam standard för dataskydd inom hela unionen, i stället för olika lagar i varje medlemsland. Effekterna av detta är att det har blivit enklare för företag att verka på marknader inom EU eftersom samma reglering gäller.
Öka ansvarsskyldighet för organisationer
Organisationer och företag som behandlar personuppgifter måste följa de strikta kraven som GDPR ställer. Bland annat måste de vara transparanta beträffande sin insamling och behandling av personuppgifter. Dessutom är det ett krav att säkerställa att all behandling sker med stöd i en rättslig grund. Företag måste även vidta olika lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna som företaget behandlar.
Främja dataskyddskultur och medvetenhet
Några centrala avsikter med GDPR är att öka medvetenheten om dataskydd och tillse att företag beaktar reglerna om dataskydd på allvar. Dessutom främjar detta en kultur där skyddet av personuppgifter utgör en central del av varje verksamhet. Dataskyddsförordningen innehåller stränga regler och påföljder för brott mot bestämmelser i GDPR. Syftet är att försöka tillse att företag och organisationer vidtar nödvändiga åtgärder för att skydda personuppgifterna som blir behandlade.
Säkerställa en säker dataöverföring utanför EU
Det finns specifika bestämmelser i GDPR som handlar om överföring av personuppgifter. Bland annat bestämmelser om överföring till ett tredjeland. Det vill säga, länder som inte omfattas av GDPR och som inte har ett så kallad adekvat skydd. För att en sådan överföring av personuppgifter ska kunna ske, måste strikta krav bli uppfyllda. Syftet är att underlätta en säker dataöverföring och skydda personuppgifterna även när de blir överförda till länder där GDPR inte gäller.
Centrala definitioner enligt GDPR
Det finns många centrala GDPR-relaterade begrepp som är viktiga att känna till för att bättre förstå regelverket. Nedan följer därför en kort beskrivning av begreppen ”Personuppgifter”, ”Behandling” och ”Registrerad”.
Definitionen av "Personuppgift" enligt GDPR
En personuppgift är kort sagt en uppgift som, direkt eller indirekt, enskilt eller i kombination med andra uppgifter, identifierar eller går att koppla till en fysisk levande individ. Definitionen av personuppgifter framgår i artikel 4 punkt 1 GDPR. Vanliga personuppgifter är exempelvis namn, personnummer, e-postadress och telefonnummer.
Det finns även personuppgifter som inte är så tydliga, men ändå är klassade som personuppgifter. Exempelvis är en röstinspelning, IP-adress, kortnummer, registreringsnummer för fordon och fingeravtryck personuppgifter. Dessutom kan personuppgifter ha både en subjektiv eller objektiv karaktär.
Exempelvis är en diagnos från en läkare, såsom en ADHD diagnos, en personuppgift som är av subjektiv karaktär. Detta är dessutom klassat som en känslig personuppgift enligt GDPR, eftersom det avser en uppgift om hälsa. Uppgifter om hälsa hör till en särskild kategori av personuppgifter, som enligt huvudregeln i artikel 9 GDPR är förbjudna att behandla. Det finns dock undantag från förbudet, som gör att behandling av särskilda kategorier av personuppgifter kan vara tillåtna att behandla. Känsliga personuppgifter utgör en av fyra grupper av integritetskänsliga personuppgifter.
Uppgifter om juridiska personer, exempelvis organisationsnumret, är inte personuppgifter. Sådana uppgifter är därmed inte omfattade av bestämmelserna i GDPR. Det bör även noteras att detsamma gäller anonyma uppgifter. Däremot gäller GDPR för avidentifierade eller pseudonymiserade personuppgifter.
Definitionen av "Behandling" enligt GDPR
Ett mycket centralt begrepp inom GDPR är termen ”Behandling” (av personuppgifter). En behandling av personuppgifter avser allt som sker med personuppgifterna, automatiserat eller på annat sätt. Behandling kan ske genom en enskild åtgärd eller genom kombination av olika åtgärder.
Exempel på vanliga behandlingar är användning, registrering, insamling, lagring, kopiering, delning, justering, radering m.m.
Definitionen av "Registrerad" enligt GDPR
Den individ som personuppgifterna tillhör och som kan bli identifierad genom uppgifterna, är enligt GDPR kallad för den ”Registrerade”. På engelska är den registrerade kallad för ”the Data Subject”. Den registrerade kan enbart vara en fysiskt levande person. Detta innebär att juridiska personer eller avlidna individer inte kan vara en registrerad. Därmed är uppgifter hänförliga till dessa inte omfattade av bestämmelserna i GDPR. Detta innebär att GDPR inte gäller för den typen av uppgifter.
Rättsliga grunder för behandling av personuppgifter
Det är viktigt för alla företagare att ha kunskaper inom GDPR och denna sammanfattning av GDPR (Dataskyddsförordningen) beskriver viktiga delar att känna till. I detta avsnitt kan du läsa mer om kraven avseende rättslig grund.
Rättslig grund kan även vara kallat för “laglig grund”. Det finns totalt sex (6) rättsliga grunder, vilka framgår av artikel 6 GDPR.
Behandling av personuppgifter som sker utan stöd i en rättslig grund är olaglig och därmed inte tillåten enligt GDPR. Detta innebär att varje enskild behandling av personuppgifter måste vara rättsligt grundad för att vara laglig och tillåten.
Viktigt att känna till är att det enbart är tillåtet att använda en (1) rättslig grund per specifik enskild behandling av personuppgifter.
Nedan kan du läsa mer om de sex rättsliga grunderna.
samtycke (artikel 6.1.a GDPR)
Om den registrerade har lämnat sitt samtycke till att dennes personuppgifter får bli behandlade för ett eller flera specifika ändamål, är sådan behandling tillåten. Det är dock viktigt att känna till att ett lämnat samtycke måste kunna bli återkallat när som helst. Om samtycket blir återkallad av den registrerade, måste även behandlingen upphöra med omedelbar verkan. Återkallande av ett samtycke påverkar dock inte behandling av personuppgifter som tidigare blivit genomförd med stöd i samtycket innan det blev återkallat. Observera att samtycke inte alltid är en lämplig rättslig grund att använda.
Avtal med den registrerade (artikel 6.1.b GDPR)
Ifall en behandling av personuppgifter är nödvändig för att fullgöra ett avtal i vilket den registrerade är part, kan “Avtal” bli använd som rättslig grund. Detsamma gäller om behandlingen är nödvändig för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Exempelvis behöver en säljare behandla av köparen angivet namn och leveransadress för att leverera varorna till köparen och därmed fullgöra köpeavtalet.
Rättslig förpliktelse (artikel 6.1.c GDPR)
Om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den Personuppgiftsansvarige kan “Rättslig förpliktelse” bli använd som rättslig grund. Exempelvis kan behandling av personuppgifter som förekommer på fakturor eller i lönespecifikationer vara nödvändig på grund av krav enligt bokföringslagen eller Skatteverket.
Grundläggande intresse (artikel 6.1.d GDPR)
Den rättsliga grunden “Grundläggande intresse” innebär att personuppgifter får bli behandlade om det är nödvändigt för att rädda liv. Det är få verksamheter som stödjer behandling av personuppgifter på denna rättsliga grund. I första hand är den aktuell inom vården. Denna rättsliga grund får dessutom enbart får bli använd i en begränsad omfattning. När den registrerade i fråga kan fatta eget beslut, är detta inte en giltig rättslig grund att använda.
Myndighetsutövning och uppgift av allmänt intresse (artikel 6.1.e GDPR)
Den rättsliga grunden “Myndighetsutövning och uppgift av allmänt intresse” innebär att behandlingen av personuppgifterna måste ske, för att utföra myndighetsuppgifter eller en uppgift av allmänt intresse. Denna rättsliga grund används främst av myndigheter, men det finns också privata aktörer inom till exempel vården och skolan som gör det.
Intresseavvägning (artikel 6.1.f GDPR)
“Intresseavvägning” som rättslig grund kan bli använd när behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. En förutsättning är dock att den registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre och kräver skydd av personuppgifter. Exempelvis är det vanligt att företag använder denna rättsliga grund vid behandling av personuppgifter för ändamålet att utföra direktmarknadsföring.
Grundläggande dataskyddsprinciper som företag måste följa
En av de viktigaste delarna i vår sammanfattning av GDPR (Dataskyddsförordningen) är de sju grundläggande principerna. Den som behandlar personuppgifter och är omfattad av bestämmelserna i GDPR, måste nämligen följa de sju (7) grundläggande dataskyddsprinciperna. Kort sagt innebär dessa dataskyddsprinciper att:
- All hantering av personuppgifter ska ske med noggrannhet och varje Personuppgift som inte är korrekt eller komplett, måste bli justerad alternativt raderad. Enligt GDPR måste varje rimlig åtgärd vidtas för att ta bort eller korrigera en felaktig Personuppgift.
- All behandling av personuppgifter måste vara laglig, korrekt och vara präglad av öppenhet gentemot den registrerade.
- Det måste finnas ett syfte/ändamål med varje enskild behandling. Behandling av personuppgifter enbart får ske för specifika ändamål, och att de inte senare får bli behandlade på ett sätt som är oförenligt med dessa ändamål.
- Enbart nödvändiga personuppgifter för det specifika behandlingsändamålet ska bli insamlade. Det är inte tillåtet att samla in mer information än vad som är nödvändigt för det specifika ändamålet med behandlingen.
- Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifterna mot bland annat obehörig och olaglig behandling, oavsiktlig förlust, förstörelse eller skada.
- Personuppgifterna ska bli raderade eller anonymiserade när de inte längre är nödvändiga för syftet som de blev insamlade för.
- Efterlevnad av bestämmelserna i GDPR måste kunna bli styrkt och bevisad. Den som är ansvarig för behandlingen måste kunna visa både att och hur bestämmelserna i GDPR efterlevs.
Avtal och dokument om behandling av personuppgifter
Företag behöver ha vissa dokument och avtal för att följa GDPR och säkerställa en säker behandling av personuppgifter. Till exempel kan företag behöva en integritetspolicy (dataskyddspolicy), interna rutiner, registerförteckning och personuppgiftsbiträdesavtal.
Dessutom kan företag behöva genomföra och dokumentera olika bedömningar innan en behandling av personuppgifter blir utförd. Exempelvis konsekvensbedömning av dataskydd (även kallat för ”DPIA”, Data Protection Impact Assesment) eller en konsekvensbedömning av dataöverföring (även kallat för ”TIA”, Transfer Impact Assesment).
Det är viktigt för företag att veta vilka dokument företaget har behov av, eftersom det kan skilja sig åt mellan företag. Det är också viktigt för att kunna visa att företaget följer GDPR enligt dataskyddsprincipen om ansvarsskyldighet.
Tekniska och organisatoriska åtgärder
Alla företag som behandlar personuppgifter måste skydda dem mot bland annat obehörig och olaglig behandling, oavsiktlig förlust, förstörelse eller skada. Det ska ske genom att vidta olika lämpliga tekniska och organisatoriska säkerhetsåtgärder. Dessutom är det nödvändigt att vidta organisatoriska åtgärder för att till exempel kunna tillgodose de registrerades rättigheter.
Exempel på tekniska säkerhetsåtgärder:
- Kryptering av filer och e-post.
- Installerade virus-skydd.
- Användning av molntjänst med säkerhetskopiering.
- Implementering av tvåfaktorsautentisering vid inloggning till system som innehåller personuppgifter.
Exempel på organisatoriska säkerhetsåtgärder:
- Interna rutiner avseende behandling av personuppgifter.
- Interna utbildningar inom dataskydd.
- Dokumenterade instruktioner och riktlinjer beträffande behandling av personuppgifter.
- Behörighetsbegränsningar till interna system.
Här kan du läsa om fler tekniska och organisatoriska säkerhetsåtgärder som företag kan vidta.
Företag blev utsatt för dataintrång
Låt oss titta på ett verkligt exempel i denna sammanfattning av GDPR (Dataskyddsförordningen).
Ett stort företag fick betala över 180 miljoner pund i sanktionsavgift. Företaget ifråga hade inte vidtagit tillräckliga tekniska säkerhetsåtgärder för att skydda personuppgifterna efter att de blivit utsatta för ett dataintrång. Hackarna kom åt hundratusentals personuppgifter, vilket inkluderade kreditkortsuppgifter. Företaget är engelskt, men incidenten inträffade före Englands utträde ur EU.
Ansvariga för behandling av personuppgifter
Personuppgiftsansvarig
I de fall personuppgifter blir behandlade inom ramen för ett aktiebolags verksamhet, är det aktiebolaget i fråga som ansvarar för att behandlingen sker i enlighet med GDPR. Det är därmed inte någon anställd på bolaget som är den ”personuppgiftsansvarige”. Motsvarande gäller för myndigheter, kommuner, organisationer etc. Däremot kan fysiska personer vara personuppgiftsansvariga. Exempelvis ägaren av en enskild firma (enskild näringsidkare).
Personuppgiftsbiträde
Ett företag kan i vissa fall även behandla personuppgifter på uppdrag av någon annan, i enlighet med tillhandahållna instruktioner och för någon annans räkning. Vid sådana fall är företaget som utför behandlingen ett personuppgiftsbiträde. Då gäller särskilda regler enligt GDPR.
Enligt artikel 28 GDPR framgår bland annat ett krav på att ingå ett skriftligt personuppgiftsbiträdesavtal. Ett sådant avtal måste dessutom minst innehålla bestämmelser som reglerar de punkter som framgår av artikel 28 GDPR.
Ett företag kan för en viss behandling agera i egenskap av personuppgiftsansvarig och i andra fall i egenskap av personuppgiftsbiträde. Det är därmed viktigt att reda ut vilken roll företaget har för varje enskild behandling. Det är alltid det faktiska förhållandet i praktiken som är avgörande, oavsett vad som blivit avtalat mellan två eller flera parter kring denna ansvarsfråga.
Dataskyddsombud
Vissa företag behöver ha ett dataskyddsombud. Vid sådana fall ska man registrera dataskyddsombudet hos IMY. Dessutom ska registrerade och anställda kunna kontakta dataskyddsombudet vid frågor gällande behandlingen av personuppgifter. Därför är det vanligt att ha kontaktuppgifterna i integritetspolicy. Observera att dataskyddsombud inte har något personligt ansvar. Dessutom har de en oberoende ställning.
Svenska dataskyddsmyndigheten
IMY är den svenska dataskyddsmyndigheten, som tidigare hette Datainspektionen. Myndigheten bytte namn den 1 januari 2021, och IMY är en förkortning av Integritetsskyddsmyndigheten. Denna myndighet arbetar bland annat med GDPR, men prövar och tilldelar även tillstånd för kameraövervakning och inkassoverksamhet.
Om en person vill lämna in ett klagomål för att denne anser att någon bryter mot GDPR, kan en anmälan om detta ske till IMY. Observera att det i vissa fall även kan vara nödvändigt att kontakta Polisen om det är fråga om ett brott, exempelvis ett dataintrång.
Personuppgiftsincidenter
Det är viktigt att förebygga personuppgiftsincidenter. Allt som innebär att kontrollen över personuppgifterna i fråga går förlorad, utgör en form av incident. Exempelvis om personuppgifterna blir förstörda, obehörigen röjda eller ändrade etc. En incident som involverar personuppgifter kan dessutom ske avsiktligt eller oavsiktligt.
I vissa fall måste inträffade personuppgiftsincidenter bli rapporterade till IMY. Detsamma gäller eventuell anmälan till registrerade som blivit påverkade av incidenten. Vid sådana fall ska anmälan till IMY ska ske inom 72 timmar från och med upptäckten. Det kan få stora konsekvenser för registrerade när det inträffar en personuppgiftsincident. Exempelvis kan det leda till en ekonomisk skada eller skadlig ryktesspridning.
Något som är viktigt att känna till, är att oavsett om en incident behöver bli anmäld till IMY eller inte, måste den bli skriftligen dokumenterad internt.
Vanlig personuppgiftsincident
En vanlig personuppgiftsincident är felskickade mejl som innehåller personuppgifter. Under de första åren sedan GDPR började gälla var detta den vanligaste personuppgiftsincidenten. Därför är det bra att alltid dubbelkolla att mottagaradressen är korrekt innan ett mejl innehållande personuppgifter blir skickat. Det är nämligen lätt att råka felstava en mejladress eller klicka på fel mottagare bland de alternativt som automatiskt dyker upp i adressfältet.
Konsekvens av att inte anmäla en inträffad personuppgiftsincident utan onödigt dröjsmål
En personuppgiftsincident inträffade hos Statens servicecenter, som agerade i egenskap av personuppgiftsbiträde. Det tog det flera månader innan de rapporterade den inträffade incidenten till de personuppgiftsansvariga. Dessutom tog det flera månader innan de anmälde incidenten till IMY (som vid tillfället hette Datainspektionen). En anmälan av en anmälningspliktig inträffad personuppgiftsincident ska ske inom 72 timmar från och med upptäckten, vilket inte genomfördes i detta ärende. Totalt fick Statens servicecenter betala 200 000 kronor i sanktionsavgift på grund av bland annat detta brott mot bestämmelser i GDPR.
Konsekvenser om företag inte följer GDPR
Företag som bryter mot GDPR kan få stora ekonomiska konsekvenser och därför är det viktigt att känna till reglerna i GDPR. I värsta fall kan företag åläggas att betala en sanktionsavgift som uppgår till 20 miljoner euro, alternativt 4 % av den totala omsättningen (det högsta av alternativen).
Om företag överför personuppgifter till tredjeland
Att överföra personuppgifter till ett tredjeland innebär enligt GDPR att man gör personuppgifter som blir behandlade i ett land inom EU- eller EES-området tillgängliga i ett land utanför EU/EES. En överföring inom EU/EES-området faller inte under reglerna för tredjelandsöverföringar.
Det kan vara tillåtet att genomföra en överföring av personuppgifter till ett tredjeland, men det är viktigt att tänka på att strikta regler gäller.
Exempel på när företag överför personuppgifter till tredjeland
Ett exempel på när företag överför personuppgifter till tredjeland är om ett företag i Sverige skickar ett mejl som innehåller personuppgifter till ett annat företag i exempelvis Monaco.
Ett annat exempel är om ett företag använder en molntjänst för att lagra personuppgifter och leverantören av molntjänsten är bolag registrerat i Australien.
EU-kommissionen kan besluta att ett land har adekvat skyddsnivå
Det är tillåtet att överföra personuppgifter till de länder utanför EU/EES-området som EU-kommissionen har beslutat har en adekvat skyddsnivå. Till exempel Schweiz och England. Observera dock att ett enskilt företag inte kan göra en sådan bedömning, utan enbart EU-kommissionen.
Om det inte finns en adekvat skyddsnivå i tredjelandet, kan överföringar dit ändå vara tillåtna genom vidtagande av nödvändiga skyddsåtgärder. Exempel på sådana åtgärder kan vara att använda standardavtalsklausuler eller företagsinterna regler (Binding Corporate Rules).
Dessutom kan överföringar till ett tredjeland tillåtas om den registrerade personen har lämnat sitt uttryckliga samtycke till överföringen av sina personuppgifter till ett specifikt tredjeland.
Rättigheter som registrerade har enligt GDPR
Företag måste tillgodose de registrerades rättigheter och därför behöver företaget implementera lämpliga tekniska och organisatoriska åtgärder för att kunna göra det. De registrerades rättigheter enligt GDPR inkluderar rätten till information, åtkomst, rättelse, dataportabilitet samt rätten att bli raderad (rätten att bli bortglömd), begränsa behandlingen, invända och inte bli utsatt för automatiserat beslutsfattande.
Ett företag fick en reprimand från tillsynsmyndigheten eftersom företaget bland annat inte hade genomfört en rättelse av personuppgifter utan onödigt dröjsmål efter begäran därom. Dessutom hade företaget inte givit tillgång till de personuppgifter som företaget behandlade om den registrerade efter förfrågan.
Onlinetjänster
Det är vanligt med onlinetjänster, såsom sociala medier, och företag som bedriver tjänsterna behandlar ofta personuppgifter. Dessutom är det vanligt att barn använder sådana tjänster. Det är tillåtet att behandla personuppgifter som tillhör barn. Däremot är det viktigt att tänka på att reglerna vid sådana fall är striktare än om den registrerade är vuxen.
Ett internationellt företag som bedriver en mobilapplikation blev ålagt att betala en sanktionsavgift av dataskyddsmyndigheten i Holland. En av orsakerna till sanktionsavgiften var att informationen om behandlingen var på engelska i stället för det officiella språket i landet. Mobilapplikationen i fråga har många barn som användare. Det är därför viktigt att ha i åtanke att onlinetjänster som riktar sig till barn bör använda enkelt och tydligt språk när de informerar barn om hur företaget behandlar deras personuppgifter. Informationen ska vara formulerad på det nationella språket i det aktuella landet, exempelvis svenska om tjänsten används av användare i Sverige.
Vi skriver och granskar avtal till fasta priser
Gratis juridikskolor
Efter att ha gått igenom den detaljerade sammanfattningen av GDPR (Dataskyddsförordningen), är det tydligt varför dataskydd är så viktigt idag.
För de som vill fördjupa sig ytterligare efter att ha läst vår sammanfattning av GDPR (Dataskyddsförordningen), rekommenderar vi att besöka webbplatsen www.AvtalGDPR.se som är en del av Digitala Juristerna.
Vi driver dessutom olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.