Frågor och svar om GDPR – Dataskyddsförordningen

Frågor och svar – Dataskyddförordningen (GDPR)

Vad är dataskyddsförordningen?

Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och ersätter då personuppgiftslagen (PuL). Läs mer här: Dataskyddskyddsförordningen

När gäller dataskyddsförordningen?

Dataskyddsförordningen gäller för behandling av personuppgifter som utförs av bolag, föreningar, myndigheter och i vissa fall av privatpersoner. Dataskyddsförordningen gäller dock inte personuppgiftsbehandling som sker av en privatperson för rent personligt bruk, behandling av personuppgifter i områden utanför EU:rätten, såsom försvar och nationell säkerhet eller behandling av personuppgifter i brottsbekämpande verksamhet.

Vad är syftet med GDPR?

Syftet med förordningen är att i större omfattning än tidigare skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. GDPR syftar även till att enskilda ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett regelverk när de verkar i flera EU-länder.

Vad är en personuppgift?

En personuppgift är all information som direkt och indirekt kan härledas till en fysisk och levande person. Det innebär att inte bara namn, telefonnummer och personnummer utgör personuppgifter utan också transaktionshistorik, besökshistoria, fotografier och ljudupptagningar på individer kan anses vara personuppgifter. Krypterade uppgifter och olika slags elektroniska identiteter, t.ex. IP-nummer, utgör också personuppgifter om de kan kopplas till en fysisk person.

Läs mer här: Grunderna i dataskydd
Se gärna Datainspektionens kortfilmer här: Vad är en personuppgift?
Introduktion till Dataskyddsförordningen/GDPR

Vad menas med behandlingen av personuppgifter?

Med behandling av personuppgifter menas alla åtgärder som vidtas ifråga om personuppgifter (oavsett om åtgärderna sker automatiskt eller manuellt), exempelvis:

  • insamling
  • registrering
  • lagring
  • bearbetning
  • spridning
  • samkörning
  • radering 

Vad är en känslig personuppgift?

Med känsliga personuppgifter avses uppgifter om:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter och
  • biometriska uppgifter som entydigt identifierar en person.

Hur ska ni tillmötesgå de registrerades rättigheter?

Den registrerades rättigheter utökas genom dataskyddsförordningen i jämförelse med personuppgiftslagen. Ni bör utreda hur ni uppfyller de registrerades rättigheter, särskilt nya rättigheter såsom exempelvis rätten till dataportabilitet.

Exempel på registrerades rättigheter är:

  • få tillgång till sina personuppgifter (dvs rätt att få ett registerutdrag och kostnadsfritt ta del av de personuppgifter den personuppgiftsansvarige behandlar)
  • få felaktiga personuppgifter rättade
  • få sina personuppgifter raderade
  • invända mot att personuppgifterna används för direktmarknadsföring
  • invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
  • flytta personuppgifterna i ett allmänt använt, läsbart format (dataportabilitet)

Vilka åtgärder kräver GDPR?

Den första åtgärden bör vara att inventera och dokumentera all hantering av personuppgifter inom din organisation.

  • Alla senare åtgärder bygger på att du vet vilka personuppgifter som används, samt i vilka syften de används.

Läs mer här: Förberedelser GDPR

Hur inhämtas eventuellt samtycke?

Dataskyddsförordningen definition av samtycke är liksom enligt personuppgiftslagen en frivillig, specifik och otvetydig viljeyttring. För att ett lämnat samtycke ska utgöra en otvetydig viljeyttring är det inte tillräckligt att tillämpa exempelvis en på förhand ikryssad ruta eller s.k. tyst samtycke. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats.

För vilka kommer den nya GDPR förordningen att gälla?

Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i organisationer, i föreningar, företag, inom myndigheter och av privatpersoner. Ett fåtal undantag förekommer:

  • personuppgiftsbehandling som sker av en privatperson för rent personligt bruk,
  • personuppgiftsbehandling som sker i verksamhet som inte omfattas av EU-rätten (till exempel försvar och nationell säkerhet)
  • personuppgiftsbehandling som sker i brottsbekämpande verksamhet, som exempelvis polisen

Vad ska ni göra vid personuppgiftsincidenter?

Dataskyddsförordningen innehåller bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar en s.k. personuppgiftsincident. Ni måste dokumentera och informera om alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till tillsynsmyndigheten inom 72 timmar.

Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder ska ni även informera den registrerade om händelsen så att de kan vidta nödvändiga åtgärder.

Läs mer här: Anmälningar av personuppgiftsincidenter

För att läsa Dataskyddsinspektionen frågor och svar om GDPRtryck här.