Sammanfattning av viktiga och centrala delar av GDPR
Här kan du läsa en sammanfattning av viktiga och centrala delar av GDPR som företag behöver känna till vid behandling av personuppgifter.
Sammanfattning av viktiga och centrala delar av GDPR
Nedan kan du läsa en sammanfattning av viktiga och centrala delar av GDPR. Om du är intresserad av att läsa enbart vissa specifika delar av denna sammanfattning, kan du klicka på knapparna nedan för att komma direkt till de specifika avsnitten.
Rättsliga grunder enligt GDPR
Samtycke som rättslig grund
Det var vanligare att använda samtycke vid behandling av personuppgifter innan GDPR började gälla i maj 2018. Däremot används det fortfarande, men det är inte alltid tillåtet. Därför är det bra att överväga om någon annan rättslig grund är mer lämplig att använda.
Frivilligt samtycke
Ett samtycke måste vara frivilligt och aktivt lämnat, för att vara giltigt. Med andra ord har den registrerade alltid rätt att säga nej, vilket företag måste respektera. Dessutom är det förbjudet att den registrerade får negativa konsekvenser om denne inte ger sitt samtycke till en behandling av dennes personuppgifter.
Aktivt samtycke
Det är viktigt att inhämta samtycke på ett korrekt sätt. Samtycket måste vara aktivt lämnat av den registrerade, för att vara giltigt. Med andra ord är ett passivt samtycke ogiltigt. Till exempel får en kryssruta för samtycke inte vara förkryssad. Personer som ska lämna sitt samtycke måste själva kryssa för rutan genom en aktiv handling.
Rätt att återkalla ett lämnat samtycke
Registrerade har rätt att återkalla sitt lämnade samtycke när som helst. Vid sådana fall måste företaget upphöra med behandlingen av personuppgifterna för det ändamål som samtycket avser. Dessutom är det ett ogiltigt samtycke om det är svårt att återkalla det lämnade samtycket. Tänk på att det inte ska vara svårare att återkalla samtycket än att lämna det.
Detta innebär bland annat att webbplatser som använder cookies med stöd i samtycke, måste göra det möjligt för webbplatsens besökare att ändra sitt val. En besökare av en webbplats ska kunna lämna sitt samtycke, men även ångra sig genom att återkalla det. I samband med detta, ska även cookies inte längre bli placerade för den besökaren som återkallar sitt lämnade samtycke.
Ojämlikt maktförhållande
Det är inte tillåtet att behandla personuppgifter med stöd i den rättsliga grunden samtycke, om maktförhållandet mellan parterna är ojämlikt. Exempelvis:
– När en arbetsgivare behöver behandla personuppgifter tillhörande de anställda råder det ojämlikhet mellan parterna. Därmed ska arbetsgivaren inte använda samtycke som den rättsliga grunden för behandling av personuppgifter tillhörande de anställda.
– Myndigheter kan i många fall inte använda samtycke, eftersom ett samtycke ska vara frivilligt lämnat och förhållandet är ojämlikt mellan medborgare och myndigheter. Däremot finns det undantag. Till exempel om en kommunal nämnd planerar att utföra ett vägarbete. Vid sådana fall kan nämnden erbjuda invånarna att kunna få uppdateringar om projektet via e-post och då kan de använda samtycke som den rättsliga grunden för behandlingen av e-postadresserna.
Inte tillåtet att ställa krav
När företaget inhämtar ett samtycke är det inte tillåtet att ställa krav. Med andra ord att den registrerade inte ska behöva göra någon prestation. Exempelvis krav om att den registrerade måste acceptera användarvillkor.
När ett företag ska inhämta ett samtycke, ska företaget informera de registrerade om följande:
– Vilket företaget är som begär samtycket.
– De typer av personuppgifter som företaget har tänkt behandla.
– Vad syftet är med behandlingen.
– Ett klargörande om att registrerade har rätt att återkalla det lämnade samtycket när som helst och att behandlingen i sådana fall ska upphöra.
Tydligt ändamål
Ändamålsbegränsning är en av sju (7) grundläggande principer i GDPR. Företag måste ha ett syfte med behandlingen och ändamålet ska vara specificerat för den registrerade vid inhämtade av samtycket. Ändamålet får alltså inte vara luddigt ett för brett.
Checklista vid inhämtade av samtycke
– Se till att samtycke är tillämpligt
Samtycke är inte alltid en lämplig rättslig grund att använda. Därför är det bra för företag att se om någon rättslig grund annan är mer lämplig. Det får inte föreligga ett ojämlikt maktförhållande mellan parterna, såsom mellan arbetsgivare och arbetstagare, vid användning av samtycke som rättslig grund.
– Samtycket måste vara frivilligt och aktivt lämnat
Ett samtycke som inte är frivilligt lämnat, är ogiltigt. Dessutom ska det vara ett aktivt lämnat samtycke, för att vara giltigt. Med andra ord ska inte en samtyckesruta vara förkryssad. Den registrerade får inte heller på något sätt vara tvungen till att samtycke till något, för att få ta del av tjänster eller liknande.
– Se till att samtycket är skilt från andra villkor
Ett inhämtande samtycke ska vara skilt från andra villkor, såsom användarvillkor. Därför ska det inte ingå i användarvillkoren, utan vara separat.
– Informationen till de registrerade ska vara tydligt och på ett enkelt språk
Företag har en skyldighet att informera registrerade om behandling av deras personuppgifter. Informationen ska vara på ett förståeligt språk och vara tydligt formulerat. Om det avser personuppgifter som tillhör barn, är kraven ännu högre gällande hur informationen ska bli presenterad för barnen ifråga.
– Information som ska framgå till de registrerade
Företaget ska bland annat informera de registrerade om namnet på företaget och kontaktuppgifter till ett eventuellt dataskyddsombud. Dessutom ska företaget informera de registrerade att de har rätt att återkalla samtycket. Det ska vara lika enkelt att återkalla ett lämnat samtycke, som att ge samtycket.
– Se till att dokumentera samtycket
Företag måste kunna bevisa att de följer GDPR och att företaget har inhämtat ett giltigt samtycke om det utgör den rättsliga grunden vid behandlingen. Därför ska företaget dokumentera inhämtade samtycken och se till att kunna bevisa att företaget har fått ett giltigt samtycke från de registrerade.
Avtal som rättslig grund
Ett företag får behandla personuppgifter om det är nödvändigt för att kunna fullgöra ett avtal. Detsamma gäller för att vidta åtgärder som en registrerad begär innan de ingår ett avtal. Observera att detta enbart gäller för registrerade som planerar eller har ingått ett avtal med företaget ifråga.
När kunder beställer varor via en webbshop
Ett praktiskt exempel på när ett företag behöver behandla personuppgifter för att kunna fullgöra ett avtal, är när en person beställer produkter från en webbshop. Vid sådana fall är det nödvändigt för företaget att till exempel behandla köparens namn och adress, för att kunna leverera produkterna och därmed fullgöra köpeavtalet. Om företaget inte gör detta, kan de inte fullgöra köpeavtalet vilket innebär ett avtalsbrott.
För att uppfylla anställningsavtal med anställda
Ett annat praktiskt exempel är när arbetsgivare behöver behandla personuppgifter tillhörande sina anställda, för att kunna uppfylla sina åtaganden enligt anställningsavtalet. Arbetsgivaren kan behöva behandla till exempel information om de anställdas sjukfrånvaro för att kunna beräkna lönen korrekt.
Inte tillåtet att behandla fler personuppgifter än nödvändigt
Företaget får inte behandla fler personuppgifter än nödvändigt för att fullgöra avtalet. Det är inte heller tillåtet att använda personuppgifterna för något annat syfte än för att fullgöra avtalet. Exempelvis att kartlägga beteendet hos köparen eller utföra annan åtgärd, som inte sker i syfte att fullgöra ett ingått avtal.
Om företaget vill behandla personuppgifterna till andra ändamål än för att fullgöra avtalet, är det vanligt att använda den rättsliga grunden samtycke för det specifika syftet. Det är även möjligt att använda intresseavvägning istället för samtycke, under förutsättning att företagets intresse inte gör intrång i den registrerades integritet, fri- och rättigheter.
Rätten till dataportabilitet
Enligt GDPR har registrerade i vissa fall rätt till dataportabilitet, om behandlingen av personuppgifterna sker med stöd i avtal som rättslig grund. Med andra ord är det inte en rättighet om den rättsliga grunden till exempel är intresseavvägning.
Dataportabilitet innebär att den registrerade har rätt att begära att företaget överför dennes personuppgifter till den registrerade eller någon annan tredje part. Denna rättighet är dock enbart tillämplig om behandlingen av personuppgifterna utförs automatiskt, och enbart om företagets behandling sker för att genomföra ett avtal som den registrerade är en avtalspart i eller grundas den registrerades samtycke. Överföring av personuppgifterna till ett annat företag sker dessutom enbart om det är tekniskt genomförbart.
Om denna rättighet är tillämplig, ska företaget på den registrerades begäran om att flytta sina personuppgifter, att tillhandahålla personuppgifterna ifråga i ett strukturerat, vanligt använt, maskinläsbart format.
Rättslig förpliktelse som rättslig grund
Rättslig förpliktelse är en rättslig grund som innebär att en personuppgiftsansvarig kan vara skyldig att utföra en viss typ av behandling av personuppgifter, enligt lagar, regler, myndighets- eller domstolsbeslut.
Informera de registrerade om den rättsliga förpliktelsen
Företag har en skyldighet att informera de registrerade om behandlingen av deras personuppgifter. Företaget ska även informera om den rättsliga förpliktelsen ifråga. Informationen måste vara tydlig och på ett förståeligt språk. Det är högre krav när de registrerade är barn, såsom att informationen ska vara formulerad på samma språk som det nationella i landet.
Följande är tre praktiska exempel på när rättslig förpliktelse kan vara en lämplig rättslig grund för företag att använda:
– Företag som har företagsbilar för medarbetare kan förenkla redovisningen som måste ske till Skatteverket genom att ha GPS-utrustning. Exempelvis för att beräkna körsträcka för utbetalning av milersättning. Däremot får företaget inte använda personuppgifterna till andra syften, såsom att se hur länge de anställda tar rast.
– Företag måste enligt bokföringslagen spara till exempel fakturor och kvitton under ett visst antal år. Sådant bokföringsunderlag kan innehålla personuppgifter, men företaget måste lagra verifikationerna under så lång tid som lagen kräver det.
– Arbetsgivare som måste redovisa skatter och sociala avgifter enligt lag, och får därmed behandla personuppgifter tillhörande de anställda för att uppfylla sådan rättslig förpliktelse.
Skydda grundläggande intresse som rättslig grund
Skydda grundläggande intresse är en rättslig grund som ett fåtal företag får använda. Denna rättsliga grund innebär kort sagt att ett företag får behandla personuppgifter om det är nödvändigt för att rädda liv. Grundläggande intresse handlar om att skydda intressen som är av grundläggande betydelse.
När registrerade inte kan lämna samtycke
Grundläggande intresse är tillämpligt när den registrerade inte kan lämna ett samtycke för behandlingen. När en person exempelvis är medvetslös på ett sjukhus, är det nödvändigt för sjukhuset att behandla dennes personuppgifter. Till exempel för att bekräfta identiteten, ta blodprov och liknande åtgärder. Då får sjukvården behandla den medvetslöse personens personuppgifter med stöd i den rättsliga grunden grundläggande intresse. Däremot är det inte tillämpligt om det avser ett planerat vårdmöte och den registrerade har möjlighet att lämna ett samtycke istället.
Försök hitta andra alternativ
Observera att företag inte bör använda denna rättsliga grunden, om det finns andra alternativ. När personer kan fatta egna beslut och neka till behandlingen, är det inte tillåtet att behandla personuppgifter med stöd av grundläggande intresse. Intresseavvägning kan vara en annan rättslig grund som är tillämplig istället för grundläggande intresse.
Krav på att vara nödvändigt
Det är ett krav att behandlingen måste vara nödvändig för att rädda den registrerades eller någon annans liv, för att företaget ska ha rätt att behandla personuppgifter med stöd av grundläggande intresse.
Behandla känsliga personuppgifter med stöd av grundläggande intresse
Det är vanligt att behandla känsliga personuppgifter med stöd av grundläggande intresse. Det är enligt huvudregeln förbjudet att behandla känsliga personuppgifter, men det finns undantag. Exempel på känsliga personuppgifter är uppgifter om hälsa, religion eller politisk åskådning.
I och med att grundläggande intresse är tillämpligt vid fara för liv och oftast blir använd inom vården, behandlar de känsliga personuppgifter. Behandling av känsliga personuppgifter är i detta fall nödvändigt för att skydda individens grundläggande intresse, som inte heller samtycka till behandlingen.
Myndighetsutövning och uppgifter av allmänt intresse som rättslig grund
Den rättsliga grunden myndighetsutövning och uppgifter av allmänt intresse är främst tillämplig för myndigheter, men i vissa fall även för företag. Till exempel företag inom vården eller skolbranschen. Två exempel på lagar är järnvägslagen och skollagen.
Myndighetsutövning grundar sig alltid på lagar, förordningar eller andra författningar. Det innefattar både svensk rätt och även EU-rätt. Det innebär att staten ger uppdrag att bestämma över medborgare i samhället. Till exempel kan en myndighet besluta att någon ska få en förmån. Besluten behöver inte vara gynnande, utan kan även vara betungande för enskilda individer vars personuppgifter blir behandlade.
Kompletterande lagar till GDPR för myndigheter
Det finns ett flertal särskilda lagar som gäller för många myndigheter. Dessa är också kallade för registerförfattningar. De kompletterar GDPR och därför måste myndigheter känna till reglerna för att kunna följa dem, inte bara GDPR. Exempel på sådana lagar är utlänningsdatalagen och patientdatalagen.
Rätt att invända
Registrerade har enligt GDPR rätt att invända mot behandlingar av deras personuppgifter. Företag måste vid sådana fall visa att företagets intresse väger tyngre än den registrerades.
Intresseavvägning som rättslig grund
Denna rättsliga grund innebär att en behandling av personuppgifter får ske, efter en intresseavvägning. Intresseavvägningen ska visa att företagets intresse till behandlingen väger tyngre än den registrerades intresse av skydd för sina personuppgifter. Dessutom ska det behandlingen vara nödvändigt för ändamålet med behandlingen ifråga.
I vissa fall får företag överlämna personuppgifter till en tredje part med stöd av intresseavvägning som rättslig grund. Med andra ord att en annan part än företaget eller den registrerade har ett berättigat intresse. Företag ska då ta reda på följande:
– Syftet med att överlämna personuppgifterna. Både varför och hur företaget ska använda personuppgifterna.
– Om det är nödvändigt för den tredje parten.
Exempel på när intresseavvägning kan vara en lämplig rättslig grund att använda
– I en internationell koncern med flera företag (personuppgiftsansvariga) kan de ha ett berättigat intresse av att föra över personuppgifter mellan företagen. Exempelvis för interna administrativa ändamål genom att behandla personuppgifter som tillhör de anställda inom koncernen.
– Bedrägeri är ett stort problem i Sverige och världen. Företag kan använda intresseavvägning som rättslig grund för att förhindra bedrägerier.
– Företag kan utföra direktmarknadsföring och därmed behandla personuppgifter med stöd i sitt berättigade intresse till marknadsföring av sin verksamhet. Om den registrerade motsäger sig marknadsföringen riktad mot denne, måste företaget upphöra med behandlingen direkt.
Observera att företag inte ska använda intresseavvägning som rättslig grund om det går att uppnå samma resultat på ett annat sätt som är mindre integritetskänsligt.
Tydligt ändamål
Företaget ska vara tydliga i sin formulering när de ger information till registrerade om behandling av deras personuppgifter. Om det är för spekulativa eller liknande intressen, är det inte tillåtet att stödja behandlingen med intresseavvägning.
Observera att myndigheter inte får använda den rättsliga grunden intresseavvägning.
Dataskyddsprinciper
Det finns totalt sju grundläggande dataskyddsprinciper som framgår i artikel 5 GDPR. Varje företag som behandlar personuppgifter i egenskap av personuppgiftsansvarig, måste följa principerna och kunna visa att företaget följer dem vid sin behandling av personuppgifter.
Nedan följer de sju dataskyddsprinciperna enligt GDPR och några centrala frågor kopplade till principerna som är viktiga för företag att kunna besvara:
Laglighet, korrekthet och öppenhet
– Vilken rättslig grund använder företaget som stöd för behandlingen?
– Kan de registrerade hitta informationen om behandlingen enkelt?
Ändamålsbegränsning
– Vad är ändamålet/syftet med behandlingen?
Riktighet
– Har företaget kontrollerat och säkerställt att personuppgifterna korrekta och uppdaterade?
Uppgiftsminimering
– Är personuppgifterna mer omfattande än nödvändigt till ändamålet?
Integritet och konfidentialitet
– Är de organisatoriska och tekniska säkerhetsåtgärderna tillräckliga för att skydda personuppgifterna i enlighet med GDPR?
Lagringsminimering
– Finns det rutiner för att kunna hantera gallring av personuppgifter när de inte längre är nödvändiga för det ursprungliga ändamålet?
Ansvarsskyldighet
– Har företaget upprättat de nödvändiga dokument och avtal som krävs enligt GDPR? Det är företaget som måste kunna visa att de följer GDPR, inte den registrerade eller tillsynsmyndigheten.
Nedan följer mer information om respektive dataskyddsprincip.
Laglighet, korrekthet och öppenhet
När företag behandlar personuppgifter måste behandlingen vara korrekt och laglig. Dessutom ska företaget vara transparenta och tydliga med hur de behandlar personuppgifter tillhörande de registrerade.
– Laglighet
Företag måste ha en rättslig grund för varje enskild behandling av personuppgifter. Det finns totalt sex (6) rättsliga grunder enligt GDPR, varav avtal och samtycke är två av dem. Dessutom måste företaget enligt principen om laglighet följa andra lagar som kompletterar GDPR och de övriga grundläggande principerna.
– Korrekthet
Företaget måste behandla personuppgifterna proportionerligt i förhållande till de registrerade och behandlingen ändamål. Med andra ord att behandlingen ska vara proportionerlig till syftet med behandlingen, rättvis och skälig. Därför ska företaget väga de registrerades och företagets intressen gentemot varandra. Företaget bör även ta hänsyn till vilken behandling av personuppgifter som de registrerade kan förvänta sig. Tänk på att inte manipulera behandlingen av personuppgifter eller på något annat sätt dölja behandlingen för de registrerade.
– Öppenhet
Företag måste informera de registrerade om behandlingen av personuppgifterna. Till exempel information om vilken rättslig grund företaget använder, ändamålet med behandlingen, varför behandlingen sker, hur länge personuppgifterna blir behandlade m.m. Informationen ska vara enkel att förstå och om de registrerade är barn, är kraven avseende detta ännu högre.
I ett ärende fick ett företag betala sanktionsavgift, eftersom informationen om behandlingen var på engelska istället för Holländska när en stor del av de registrerade var barn som bodde i Nederländerna. Företaget ifråga, som bedriver en internationell sociala medier-plattform, hade därmed inte tillhandahållit informationen om behandlingen av personuppgifterna på ett enkelt sätt som målgruppen kunde förstå.
Ändamålsbegränsning
Företag måste ha särskilda, uttryckliga och berättigade ändamål för behandlingen av personuppgifterna. Denna princip innebär att behandling av personuppgifter enbart får ske för specifika ändamål, och att de inte senare får bli behandlade på ett sätt som är oförenligt med dessa ändamål. Personuppgifter får därutöver bara bli behandlade under den tid det är nödvändigt för ändamålet de blev insamlade för. Det är alltså inte tillåtet att samla in eller behandla personuppgifter utan något syfte eller ändamål med behandlingen.
Ändamålen utgör ramarna
Det är ändamålen med behandlingen som utgör ramarna för hur personuppgifterna får bli behandlade. Ändamålen med behandlingen ska bli tydligt framförda till de registrerade. Exempelvis kan det ske genom att det framgår i en integritetspolicy, som företaget presenterar till de registrerade innan personuppgifterna blir insamlade eller behandlade.
Dokumentera och informera om ändamålen
Företag måste kunna visa att de följer GDPR vid en eventuell tillsyn. Det är alltså inte de registrerade eller tillsynsmyndigheten som behöver bevisa att företaget bryter mot GDPR. Därför ska företag dokumentera ändamålen med behandlingarna och informera de registrerade om dessa. Det är för att visa att företaget följer principen om ansvarsskyldighet, som är en annan grundläggande dataskyddsprincip enligt GDPR.
Specifika ändamål
Det är inte tillåtet att ha för otydliga eller luddiga ändamål. De måste vara specifika, uttryckliga och konkretiserade. Exempelvis brukar det inte räcka med att ändamålet är att “förbättra upplevelsen för användarna”. Det är för brett och inte tillräckligt specifikt.
Berättigade ändamål
Utöver att ändamålet måste vara specifikt, måste det vara berättigat. Med andra ord att företaget följer aktuell lagstiftning, har en rättslig grund vid behandlingen och följer allmänna principer.
Använda samma personuppgifter för andra ändamål
Ett företag kan vilja använda insamlade personuppgifter till andra ändamål än det ursprungliga efter ett tag. Vid sådana fall är det fråga om en ny behandling, vilket innebär att företaget måste börja om med bedömningen av behandlingen. Om ändamålet är detsamma som det ursprungliga behöver företaget inte göra det, men de måste informera de registrerade om den nya behandlingen innan den blir utförd.
Uppgiftsminimering
Denna princip innebär att enbart nödvändiga personuppgifter för det specifika behandlingsändamålet ska bli insamlade. Det är inte tillåtet att samla in mer information än vad som är nödvändigt för det specifika ändamålet med behandlingen ifråga. Dessutom måste behandlade personuppgifter vara kopplade till ändamålet. Företag får alltså inte samla in fler personuppgifter än vad som är nödvändigt.
Samla in personuppgifter för framtida behov
Det är inte heller tillåtet för företag att samla in och behandla personuppgifter för framtida behov som inte är bestämda. Detta innebär även att företag inte får samla in personuppgifter bara för att det kan vara bra att ha dem.
Riktighet
Företag som behandlar personuppgifter ska se till att de är korrekta och uppdaterade. Principen om riktighet innebär att all hantering av personuppgifter ska ske med noggrannhet och att varje personuppgift som inte är korrekt eller komplett, måste bli korrigerad alternativt raderad. Enligt GDPR måste varje rimlig åtgärd vidtas för att ta bort eller korrigera en felaktig personuppgift.
Upprätta rutiner
Företag ska ha rutiner för att kunna hantera radering och rättelse av personuppgifter som inte är korrekta. När en registrerad begär att få sina personuppgifter rättade ska det ske utan onödigt dröjsmål. Därför behöver företaget rutiner för att kunna tillgodose denna rättighet för de registrerade.
Lagringsminimering
Efter att personuppgifter som företaget behandlar inte längre är nödvändiga för ändamålet de blev insamlade för, måste företaget radera dem. Det är också möjligt att istället avidentifiera personuppgifterna eller anonymisera dem. Något som är bra att känna till är att anonymiserade uppgifter inte längre utgör personuppgifter och att anonymiserade uppgifter därmed inte är omfattade av GDPR. Däremot är avidentifierade uppgifter fortfarande personuppgifter och därmed omfattade av GDPR.
Upprätta rutiner för gallring
Företag ska radera personuppgifter regelbundet när de inte längre är nödvändiga. Därför bör företaget ha rutiner för att gallra personuppgifter och säkerställa att det sker korrekt. Exempelvis kan företag införa en rutin om att gallring ska ske kvartalsvis och hur processen av gallringen ska gå till.
När företag behöver spara personuppgifter på grund av andra rättsliga skäl
Det är vanligt att företag behöver spara personuppgifter på grund av någon annan lagstiftning än GDPR. Exempelvis bokföringslagen som innebär att företag måste spara fakturor ett visst antal år.
Det är tillåtet att lagra personuppgifter även fast det inte längre är nödvändigt för det ursprungliga ändamålet, om det sker för:
– Arkivändamål av allmänt intresse,
– Vetenskapliga eller historiska forskningsändamål,
– Statistiska ändamål.
Integritet och konfidentialitet
Företag har en skyldighet att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som företaget behandlar. Företag måste se till att inte obehöriga personer får tillgång till personuppgifterna. Dessutom ska företag se till att personuppgifter varken går förlorade eller blir förstörda. Sådana händelser är klassade om personuppgiftsincidenter enligt GDPR, oavsett om det sker avsiktligt eller oavsiktligt.
Ju känsligare personuppgifter, desto högre säkerhetskrav
Desto mer integritetskänsliga och känsliga personuppgifterna är, ju högre är säkerhetskraven på företaget.
Tekniska och organisatoriska åtgärder
Företag behöver implementera både tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Exempel på tekniska säkerhetsåtgärder:
– Kryptering
– Virus-skydd
– Molntjänst med säkerhetskopiering
– Tvåfaktorsautentisering vid inloggning
Exempel på organisatoriska säkerhetsåtgärder:
– Interna rutiner
– Interna utbildningar
– Instruktioner och riktlinjer
– Behörighetsbegränsningar till interna system
Ansvarsskyldighet
Företag som behandlar personuppgifter bär ansvaret på att följa de grundläggande dataskyddsprinciperna. Dessutom måste företaget kunna bevisa att de följer GDPR vid en eventuell tillsyn. Med andra ord behöver inte registrerade eller tillsynsmyndigheten bevisa att företaget bryter mot GDPR.
Det går att visa att företaget följer de sju (7) dataskyddsprinciperna genom att bland annat:
– Ge korrekt och tydlig information om behandlingen till de registrerade.
– Upprätta ett register över behandlingarna av personuppgifterna. Dessutom bör överväganden framgå i registret.
– Håll utbildningar för personalen om GDPR och upprätta interna rutiner och riktlinjer för medarbetarna avseende behandling av personuppgifter.
– Se till att ha integritetsvänliga lösningar.
– Om behandlingen avser känsliga personuppgifter eller personuppgifter som är extra integritetskänsliga, ska företaget också göra en konsekvensbedömning innan behandlingen sker.
– Vidta nödvändiga tekniska och organisatoriska säkerhetsåtgärder.
Behandling av personuppgifter
Personuppgifter enligt GDPR
Definitionen av personuppgifter är när det går att koppla en uppgift till någon fysiskt levande person. Med andra ord är det ingen personuppgift om uppgifterna avser någon som har avlidit eller om det avser en juridisk person (aktiebolag, handelsbolag och ekonomiska föreningar m.m.) Alla företag som behandlar personuppgifter måste följa GDPR. Detsamma gäller organisationer och offentliga organ.
Exempel på personuppgifter
Vanliga exempel på personuppgifter är namn, personnummer, telefonnummer, ip-adress och adress. Dessutom kan foton och ljudinspelningar vara personuppgifter om det går att identifiera en fysisk levande person.
Tydliga och mindre tydliga personuppgifter
Vissa personuppgifter är tydliga, såsom namn och personnummer. Däremot finns det personuppgifter som är mindre tydliga där det går att identifiera en person genom en så kallad bakvägsidentifikation. Ett praktiskt exempel är om någon har ett busskort med ett identifikationsnummer för att personen ska kunna spärra kortet och få ett nytt vid en eventuell förlust. Även fast det inte går att avläsa vem personen är genom identifikationsnumret i sig, så finns det registrerat i någon databas vem ägaren av kortet är. Därför är identifikationsnumret ändå en personuppgift.
Personuppgifter av subjektiv och objektiv karaktär
Det finns personuppgifter som är av subjektiv och objektiv karaktär. Personuppgifter såsom namn och personnummer är vanliga personuppgifter, som är av objektiv karaktär.
En diagnos från en läkare är istället en personuppgift av en subjektiv karaktär. Det är en personuppgift som beskriver egenskapen hos en individ. Observera att personuppgifter om hälsa är klassade som känsliga personuppgifter enligt GDPR.
Integritetskänsliga personuppgifter enligt GDPR
Det finns fyra grupper av integritetskänsliga personuppgifter enligt GDPR. Integritetskänsliga personuppgifter är extra skyddsvärda och det innebär att företag måste vidta högre säkerhet vid behandling av sådana.
– Första gruppen är känsliga personuppgifter. Till exempel uppgifter om religion, ursprung, sexuell läggning och uppgifter om hälsa.
– Andra gruppen är personuppgifter som rör fällande domar i brottmål.
– Tredje gruppen är personnummer och samordningsnummer.
– Sista gruppen är så kallade subjektivt integritetskänsliga uppgifter.
Personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som innebär att någon obehörig får tillgång till personuppgifter, att personuppgifter blir förstörda, förlorade eller ändrade.
Tekniska och organisatoriska åtgärder
Personuppgiftsincidenter måste enligt GDPR i vissa fall bli anmälda till IMY inom 72 timmar av den som är ansvarig över personuppgifterna. GDPR kräver även att företag inför olika typer av tekniska och organisatoriska åtgärder för att på olika sätt skydda personuppgifterna.
De tekniska och organisatoriska säkerhetsåtgärderna som företaget implementerar ska vara lämpliga i förhållande till personuppgifternas art, riskerna med behandlingen, kostnaden för åtgärderna och de tekniska möjligheterna.
Exempel på en organisatorisk säkerhetsåtgärd är att införa interna rutiner och policys som alla medarbetare ska följa. Exempelvis dataskyddspolicy/integritetspolicy, IT-policy, årliga byten av lösenord m.m.
En teknisk säkerhetsåtgärd är att införa digitala säkerhetssystem som upptäcker intrång, försök till intrång, förlust eller förstörelse av personuppgifter, antivirusprogram, backup lagring m.m.
Vanliga exempel på personuppgiftsincidenter
Felskickade mejl
Att skicka ett mejl som innehållerr personuppgifter till fel person eller med fel information, var den vanligaste personuppgiftsincidenten tre (3) år i rad enligt rapporter från Integritetsskyddsmyndigheten. Exempelvis kan det ske genom att felstava mottagarens e-postadress. Därför är det bra att införa rutiner för hur medarbetare ska kontrollera att meddelanden blir skickade till korrekt mottagare. Det är även bra att ha en rutin för hur medarbetare ska agera om ett mejl blir skickat till fel person eller liknande. Företaget ansvarar för incidenterna och därför är det bra att ha tydliga instruktioner och policys. Dessa ska medarbetarna känna till och arbetar utefter.
Förlust eller stöld
Förlust av exempelvis mobiltelefon och dator kan tyvärr hända. Ofta finns det personuppgifter i en mobiltelefon, såsom namn och telefonnummer. Många arbetar idag med sin dator och använder kalender eller dokument där man skriver in personuppgifter. Därför är det mycket viktigt att se till att ha lösenord. Bland annat i hårdvarorna och i de interna system och register som företaget använder. Dessutom är det viktigt att ha rutiner för vad som ska ske om en incident inträffar. Exempelvis är det bra om det är möjligt att spärra en telefon eller att tömma en digital lagringsplats på distans. På så sätt kan man förhindra att personuppgifter hamnar i fel händer och att minimera riskerna med incidenten.
Dataintrång
Det är tyvärr vanligt att företag och deras digitala system blir hackade. Därför är det mycket viktigt att försöka arbeta för att förhindra det. Exempelvis är det bra att ha olika lösenord, för olika system, som är väldigt komplicerade, långa och som består av olika tecken, bokstäver och siffror. Det finns idag hackare som använder robotar för att testa sig fram med olika lösenord för att försöka komma åt innehåll. Därför är det även bra att införa system som upptäcker försök till intrång. Även system som kan blockera en användare från att försöka logga in med felaktigt lösenord för många gånger eller liknande. Om ett dataintrång inträffar, ska det bli anmält till både Polisen och Integritetsskyddsmyndigheten.
Fysiska dokument
Utskrivna handlingar och dokument som innehåller personuppgifter, ska bli förvarade oåtkomligt från obehöriga personer. Exempelvis kan anställningsavtal eller annat avtal, råka komma bort eller hamna i orätta händer. Det är viktigt att vara organiserad och att tänka på vart sådant blir lagrat. Ett förslag är att ha fysiska dokument i ett låst dokumentationsskåp, bortom räckhåll från obehöriga personer. Exempelvis är det viktigt att se till att inte lämna dokument som innehåller olika personuppgifter synligt eller tillgängligt på ett obemannat skrivbord, där obehöriga personer har tillträde eller liknande.
Innehåll i en anmälan enligt GDPR
En vanlig fråga många företagare undrar är bland annat: “Vad ska jag göra om personuppgiftsincidenter sker enligt GDPR?”
Först och främst är det viktigt att ha interna rutiner om vad som behöver bli gjort om det inträffar en incident som involverar personuppgifter. Det är viktigt att först ta reda på om incidenten behöver bli anmäld till Integritetsskyddsmyndigheten, samt till Polisen. Det är inte alla incidenter som behöver bli anmälda till myndigheter. Däremot måste alla typer av incidenter som berör personuppgifter bli dokumenterade internt. Företaget bör därför ha en intern loggbok för att dokumentera incidenter och interna rutiner kopplade till loggboken, för att säkerställa en korrekt intern hantering och dokumentation.
Om en anmälan av en inträffad incident ska göras enligt GDPR, måste det ske inom 72 timmar från och med upptäckten av incidenten. Genom Integritetskyddsmyndighetens hemsida, finns en länk för att göra en digital anmälan av en inträffad personuppgiftsincident. Där behöver företaget först svara på några frågor och påståenden om incidenten. Vid slutet av detta test får företaget besked på om en anmälan behöver göras eller om det är tillräckligt att företaget dokumenterar incidenten internt.
Innehåll i en anmälan av incident enligt GDPR
Artikel 33 i GDPR är en bestämmelse som anger vad en sådan anmälan ska innehålla. Det är främst nedanstående centrala delar.
I anmälan ska det framgå en beskrivning av incidenten och vilken typ av incident det handlar om. Anmälan ska dessutom, om det är möjligt, innehålla information om vilka typer av personer och kategorier av personuppgifter som är berörda av incidenten. Företaget ska även redovisa uppgift om ungefärligt antal personuppgifter som är berörda av incidenten.
Anmälan ska också innehålla namn och kontaktuppgifter till den person som kan ange mer information om händelsen. Exempelvis någon chef eller dataskyddsombudet.
Företaget ska även beskriva vilka de sannolika konsekvenserna är av incidenten och vilka åtgärder som företaget har vidtagit för att minska konsekvenserna av incidenten.
Därefter är det viktigt att göra så mycket som möjligt för att förhindra de negativa effekterna av en incident.
Ju känsligare personuppgifterna är, desto mer säkerhet behöver företaget ha kring dem. I vissa fall ska företaget även kontakta personerna som blivit påverkade av incidenten och informera dem om det inträffade.
Överföring av personuppgifter till tredjeland och gränsöverskridande behandling
Definition av tredjeland
Definitionen av att överföra personuppgifter till ett tredjeland innebär att personuppgifterna blir överförda till ett land som varken är med i EU eller EES-området. En sådan överföring av personuppgifter är tillåten i vissa fall, men det är viktigt att tänka på att reglerna är strikta. Ett praktiskt exempel på en överföring till ett tredjeland är om ett företag inom europa använder en molntjänst med lagring av data i USA. Detsamma gäller om någon på ett företag har en mejlkonversation med någon i USA och skickar ett dokument med personuppgifter.
Syftet med GDPR är bland annat att ge ett likvärdigt skydd gällande personuppgifter och personlig integritet för alla som bor inom EU/EES-området. Däremot innebär det inte att alla länder utanför har ett motsvarande skydd. Det är därför friare att överföra personuppgifter inom området där GDPR gäller.
Tillåten överföring av personuppgifter till tredjeland
Det är tillåtet att överföra personuppgifter till tredjeland vid följande tillfällen:
– Om EU-kommissionen anser att ett land har adekvat skyddsnivå (här är en lista från IMY på länder som har adekvat skyddsnivå),
– När företaget vidtar skyddsåtgärder som är lämpliga,
– I vissa enstaka fall kan det vara tillåtet under särskilda situationer.
Observera att skyddsåtgärder som ett företag måste vidta skiljer sig beroende på skyddsnivån i landet där personuppgifterna blir överföra till.
Adekvat skyddsnivå
Adekvat skyddsnivå innebär att ett land har tillräckligt högt skydd utifrån de lagar och internationella åtaganden som företaget ingått vilket EU-kommissionen kan besluta. Med andra ord kan inte ett företag besluta att ett land har det. Det behöver inte vara ett land utan det kan också gälla till exempel ett visst territorium eller en sektor i ett tredjeland.
Gränsöverskridande behandling
Gränsöverskridande personuppgiftsbehandling innebär att ett företag behandlar personuppgifter i flera länder inom EU eller att en viss behandling har anknytning till flera länder inom EU. Till skillnad från behandling av personuppgifter i tredjeland, som innebär att företaget behandlar personuppgifter utanför EU/EES-området där GDPR inte gäller.
Alla länder där GDPR gäller har en tillsynsmyndighet. I Sverige är det Integritetsskyddsmyndigheten (IMY), som tidigare hette Dataskyddsmyndigheten. Om det inträffar en personuppgiftsincident, ska företaget i vissa fall rapportera det till den nationella tillsynsmyndigheten.
Registrerade har rätt att vända sig till en tillsynsmyndighet i vilket land som helst, men företaget ska vända sig till rätt tillsynsmyndighet vid exempelvis eventuella personuppgiftsincidenter.
Definition av gränsöverskridande personuppgiftsbehandling
Det kan vara både den personuppgiftsansvarige eller personuppgiftsbiträdet som utför en gränsöverskridande personuppgiftsbehandling. Det är om ett företag:
– har verksamhetsställen i mer än en medlemsstat och behandlar personuppgifterna i dessa inom ramen för verksamheten.
– utför en behandling inom enbart ett verksamhetsställe, men som i stor grad påverkar eller sannolikt kommer att påverka registrerade i flera medlemsstater.
Praktiska exempel
Ett företag kan vara verksamma i enbart Sverige, men behandlingen av personuppgifter kan påverka registrerade i till exempel Sverige och Tyskland. Det kan också vara så att företaget är verksamma i båda dessa länder. Vid båda fallen är det tal om gränsöverskridande behandling av personuppgifter.
Observera att tillsynsmyndigheterna i EU samarbetar med varandra. Det innebär bland annat att en registrerad kan lämna in ett klagomål till en tillsynsmyndighet i Tyskland som avser en behandling i Sverige. Då ska den tyska tillsynsmyndigheten överlämna ärendet till den svenska. Däremot kan det vara så att ett företag behandlar personuppgifter i flera länder och vid sådana fall samarbetar tillsynsmyndigheterna i länderna med varandra. Det är dock enbart en av tillsynsmyndigheterna som leder ärendet ifråga.
Anmäla gränsöverskridande personuppgiftsincidenter
Här är en länk till IMY med mer information om anmälan av personuppgiftsincidenter som är gränsöverskridande. Alla personuppgiftsincidenter ska dock inte bli rapporterade och det är därför bra att först se om det är tillämpligt. Dessutom kan det i vissa fall vara nödvändigt att behöva kontakta de registrerade som blivit påverkad av incidenten.
Handläggning av gränsöverskridande ärenden
När ett ärende är gränsöverskridande granskar tillsynsmyndigheterna i länderna det gemensamt. Därför kan det ta längre tid att handlägga ett sådant ärende. Om ni vänder er till den svenska dataskyddsmyndigheten och ärendet kommer att handläggas av flera tillsynsmyndigheter gemensamt, kommer de informera er om det. Dessutom kan det vara så att de inte kommer överens och därmed vänder sig till den Europeiska dataskyddsstyrelsen.
Registrerades rättigheter
Registrerade har ett flertal rättigheter enligt GDPR (dataskyddsförordningen). Företag som hanterar personuppgifter och därmed ska följa GDPR, måste ha rutiner för att kunna hantera begäranden från registrerade gällande sina rättigheter.
1. Rätt till information
Företag ska lämna information till registrerade angående behandlingen av deras personuppgifter. Det ska ske i samband med att företaget samlar in personuppgifterna. Dessutom har registrerade rätt att få information om behandlingen efter att behandlingen har blivit påbörjad eller utförd. Informationen ska vara gratis, lättillgänglig och vara formulerad på ett klart och tydligt språk. Kraven avseende detta är ännu högre om de registrerade ifråga är barn.
Informationen som registrerade har rätt till är bland annat information om:
– Vilka ändamål som personuppgifterna blir behandlade för,
– Vilken laglig grund behandlingen grundar sig på,
– Tidsfristen för lagringstiden,
– Vilka som kommer få ta del av personuppgifterna och om de till exempel kommer bli överförda till tredjeland,
– De rättigheter som de registrerade har enligt GDPR,
– Att de registrerade har rätt att lämna in klagomål avseende företagets behandling av personuppgifterna till tillsynsmyndigheten,
– Om den rättsliga grunden är samtycke, ska det framgå att de registrerade har rätt att återkalla det,
– Kontaktuppgifter till den personuppgiftsansvariga (företaget). Dessutom ska kontaktuppgifterna till dataskyddsombudet framgå om företaget har ett sådant ombud.
Lämna information vid personuppgiftsincidenter
Vid vissa typer av personuppgiftsincidenter, ska företaget meddela de registrerade som blivit drabbade. Till exempel om det inträffar ett dataintrång som resulterar i läckta kreditkortsuppgifter. Om det finns en risk för identitetsstöld eller bedrägeri, ska företaget meddela den registrerade om incidenten.
2. Rätt till tillgång
Om ett företag behandlar personuppgifter har de registrerade rätt att få veta om företaget behandlar personuppgifter om dem. Vid begäran, ska företaget lämna information om behandlingen som de utför. Det ska bland annat framgå:
– Vilka kategorier av personuppgifter som företaget behandlar,
– Syftet med behandlingen,
– Tidsfristen för behandlingen,
– Hur företaget samlat in personuppgifterna,
– Vilka som fått ta del av personuppgifterna.
Observera att informationen som den registrerade får ska vara utformad på ett sätt så att de kan kontrollera om personuppgifterna är korrekta och om behandlingen är laglig.
När information inte behöver bli överlämnaD
I vissa situationer behöver inte företaget lämna över information om behandlingen. Exempelvis om det sker på grund av någon bestämmelse i en annan lagstiftning. Detsamma gäller om utlämnandet kan medföra nackdelar för andra registrerade. Det kan också vara så att en person inkommer med orimliga begäranden, såsom att begära att få tillgång till informationen väldigt många gånger under en kortare period. Vid sådana fall har företaget rätt att neka begäran.
3. Rätt till rättelse
En rättighet som de registrerade har, är att få sina felaktiga personuppgifter rättade. Dessutom har de rätt att komplettera sina personuppgifter om det är nödvändigt i förhållande till ändamålet. Företaget ska meddela den registrerade efter de har rättat personuppgifter på dennes begäran. Däremot kan det medföra en för betungande insats i vissa fall och vid sådana fall behöver företaget inte informera den registrerade.
Företag ska också se till att personuppgifter som de lagrar är korrekta. De ska även hålla de uppdaterade. En rättelse eller komplettering ska ske skyndsamt, och utan onödigt dröjsmål.
4. Rätt till radering
Företag ska radera personuppgifter bland annat om:
– Personuppgifterna inte längre är nödvändiga för det ändamål de blev insamlade för.
– Den rättsliga grunden till behandlingen är samtycke och den registrerade återkallar det.
– Syftet med behandlingen av personuppgifterna är direktmarknadsföring och den registrerade inte vill att företaget behandlar personuppgifterna.
– Det inte finns berättigade skäl som väger tyngre än intresset hos den registrerade och den registrerade motsätter sig behandlingen. Detta gäller om den rättsliga grunden är myndighetsutövning eller intresseavvägning.
– Behandlingen av personuppgifterna inte är laglig.
– Företaget behöver radera uppgifterna för att uppfylla en rättslig skyldighet.
Informera om radering
När en registrerad begär att få personuppgifter raderade, ska företaget informera när de har utfört åtgärden. Däremot kan det finnas situationer där det visar sig vara omöjligt eller för betungande. Vid sådana fall behöver inte företaget informera den registrerade om den vidtagna åtgärden.
Personuppgifter som offentliggjorts
I vissa fall kan personuppgifterna bli offentliggjorda vid behandlingen. Till exempel om en person skapar ett konto hos ett företag som bedriver sociala medier och skriver inlägg som blir offentliga. Vid sådana fall är det inte alltid tillräckligt att bara radera personuppgifterna där, utan företaget kan behöva vidta fler åtgärder som är rimliga. Exempelvis genom att kontakta andra parter som behandlar personuppgifterna att radera länkar, kopior eller liknande.
Fler undantag från rätten till radering
Företag behöver inte alltid radera personuppgifter eller informera de registrerade efter att de har raderat uppgifter. Radering av personuppgifter behöver inte ske om behandlingen är lämplig för att tillgodo se andra rättigheter som är viktiga. Exempelvis yttrandefrihet. Detsamma gäller om behandlingen sker för att utföra en uppgift av allmänt intresse.
5. Rätt till begränsning
I vissa situationer har registrerade rätt att begära att behandlingen av deras personuppgifter blir begränsad. Med andra ord att företaget enbart får behandla personuppgifterna för vissa avgränsade syften.
Som tidigare nämnt har registrerade rätt att få sina personuppgifter rättade om de är felaktiga. Vid sådana fall är det också möjligt att begära att företaget begränsar behandlingen under tiden de utreder om personuppgifterna är felaktiga eller inte. Om begränsningen upphör, ska företaget informera den registrerade.
6. Rätt att göra invändningar
Registrerade har rätt att göra invändningar när deras personuppgifter blir behandlade:
– för att utföra en uppgift av allmänt intresse,
– som ett led i myndighetsutövning, eller
– när de blir behandlade efter en genomförd intresseavvägning.
Ifall att en registrerad gör en invändning enligt denna rättighet ska företaget upphöra med behandlingen, under förutsättning att företagets intresse väger tyngre än den registrerades intressen, rättigheter och friheter. Om så är fallet ska företaget informera om den genomförda intresseavvägningen och företagets identifierade intressen.
När företag behandlar den registrerades personuppgifter för att utföra direktmarknadsföring, har den registrerade däremot en absolut rätt att begära att företaget upphör med behandlingen av dennes personuppgifter för det ändamålet. Vid sådana fall ska företaget även informera den registrerade när personuppgifterna ifråga hat blivit raderade, om den registrerade begär det.
7. Rätt till dataportabilitet
Företag ska underlätta överföring av personuppgifter till andra tjänster om den registrerade vill det. Exempelvis för att använda personuppgifterna från en sociala medier plattform, till en annan motsvarande plattform.
Denna rättighet är dock enbart tillämplig om behandlingen av personuppgifterna blir utförd automatiskt. Överföring av Personuppgifterna till ett annat företag sker dessutom enbart om det är tekniskt genomförbart.
Samtycke eller avtal
För att en registrerad ska ha rätt till dataportabilitet, måste företaget använda samtycke eller avtal som den rättsliga grunden till behandlingen ifråga. Dessutom gäller denna rättighet enbart om den registrerade har lämnat personuppgifterna själv.
8. Automatiserade beslut
Kort sagt handlar automatiserade beslut om behandling som är automatisk, exempelvis genom algoritmer, där personuppgifter blir behandlade för att bedöma och analysera personliga egenskaper hos en person. Automatiserade beslut kan ha rättsliga följder för den registrerade eller påverka den registrerade på andra betydande sätt, och om så sker har den registrerade rätt att inte bli föremål för det automatiserade beslutet.
Om ett automatiserat beslut har fattats, med eller utan profilering, har den registrerade rätt få det automatiserade beslutet granskat eller för att bestrida det.