gdpr -- en sammanfattning

Den 25 maj 2018 ersatte GDPR – General Data Protection Regulation – eller Dataskyddsförordningen som är det svenska namnet, den gamla personuppgiftslagen, PUL. Bakrunden till den nya förordningen är att stärka individers integritetsskydd genom strängare och mer samordnad lagstiftning inom hela EU. Den syftar också till att ge människor makt att själva i större utsträckning kunna bestämma vad de tycker och inte tycker är okej användning av deras personuppgifter.

Vad räknas som personuppgifter?
En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person, t.ex.:

  • namn, personnummer, org. nr för enskild firma
  • adress, telefonnummer, fastighetsbeteckning, lägenhetsnummer
  • kundnummer, registreringsnummer för fordon
  • e-postadresser, IP-adresser, ”nicks” (i datorspel)
  • fotografier där personer går att känna igen

Det är enbart uppgifter om fysiska personer som är personuppgifter. För juridiska personer är organisationsnumret inte en personuppgift. Uppgifter om enskilda anställda och styrelseledamöter är däremot personuppgifter.

Känsliga personuppgifter
Vissa personuppgifter åtnjuter ett starkare skydd, dessa personuppgifter kategoriseras som ”känsliga personuppgifter”. Det som avses är behandling av personuppgifter som avslöjar:

  • ras eller etniskt ursprung
  • politiska åsikter, religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning, eller
  • behandling av genetiska och biometriska uppgifter för att identifiera en fysisk person.

Utgångspunkten är att verksamheter inte ska behandla känsliga uppgifter alls. Det kan dock lämnas samtycke till behandling av känsliga personuppgifter (se nedan om samtycke). Det ställs emellertid högre krav på ett sådant samtycke än för behandling av andra personuppgifter. För det fall känsliga personuppgifter behöver behandlas ska det ske under en begränsad tid och det ska finnas tydliga rutiner för bortrensning av uppgifterna när de inte längre behövs.

Det finns undantag mot förbudet att behandla känsliga personuppgifter utan samtycke, inom bland annat arbetsrätten och hälso- och sjukvården. Uppgifter om fällande brottmålsdomar får inte behandlas alls, ens med samtycke.

Vad räknas som behandling av personuppgifter?
”En åtgärd beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.”

…eller med andra ord i princip all hantering av personuppgifter.

Vilka lagliga grunder finns för behandling av personuppgifter?
Behandling är laglig om minst ett av följande villkor är uppfyllt:

  • Samtycke
  • Fullgörande av avtal
  • Rättslig förpliktelse (t.ex. lag, kollektivavtal, beslut)
  • Skyddande av persons intressen
  • Uppgift av allmänt intresse eller myndighetsutövning
  • Berättigade intressen Om inget av villkoren är uppfyllda får inte behandling ske.

Här kommer en kort beskrivning av grunderna:

Samtycke
Det ska vara en frivillig, specifik, informerad och otvetydig viljeyttring.

Samtycket ska

  • klart och tydligt kunna särskiljas från annan text.
  • vara i en begriplig och lättillgänglig form.
  • formuleras med ett klart och tydligt språk.

Den registrerade ska ha rätt att lätt återkalla samtycket och den registrerade ska informeras om sin rätt att återkalla samtycket. Samtycke från barn under 13 år är inte giltiga utan kräver målsmans godkännande.

Den personuppgiftsansvariga ska kunna visa att den registrerade har samtyckt till behandlingen av sina personuppgifter. Det gäller alltså att ha ordning och reda bland dokumenten.

Fullgörande av avtal
Nödvändig för att en avtalspart ska kunna fullgöra sina åtagande enligt avtal, t.ex.:

  • Tjänst som ska utföras i någons hem (namn och adress)
  • Arbetsgivare som ska betala ut lön (namn, bankkontonummer)
  • Arbetsgivares mottagande av jobbsökandes ansökningshandlingar och CV
  • Namn och adress för att skicka fakturor på varor/tjänster.

Notera att dessa uppgifter insamlade på denna grund inte får användas i annat syfte (t.ex. kontaktlistor, reklamutskick etc.) och att de ska raderas när de inte längre fyller sin uppgift.

Fullgörande av rättslig förpliktelse
När det uppställs krav som har sin grund i lagstiftning eller kollektivavtal, domar eller myndighetsbeslut som i sin tur meddelats med stöd av lag, t.ex.:

  • Arbetsgivares skyldigheter gentemot olika myndigheter
  • Behandling enligt bokföringslagen
  • Behandling enligt penningtvättlagen

Behandling på grund av allmänt intresse
Myndigheter, kommuner och privata organisationer som utför förvaltningsuppgifter på uppdrag av en kommunal eller statlig myndighet har ibland rätt att behandla personuppgifter utifrån den lagliga grunden allmänt intresse.

Behandling vid myndighetsutövning
Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är ett uttryck för samhällets maktbefogenhet i förhållande till medborgarna. Myndigheter kan därför inte i sin myndighetsutövning inhämta samtycken för behandling av personuppgifter. Därav att det finns en särskild grund för behandling vid myndighetsutövning. Visst arbete som det allmänna utför med stöd av lagar anses också vara myndighetsutövning (exempelvis friskolor som sätter betyg på elever) och kan då också använda sig av denna grund för behandling av personuppgifter.

Behandling på grund av berättigat intresse
Om den personuppgiftansvarige har ett berättigat intresse av att behandla personuppgifter som väger tyngre än den registrerades personens intresse av integritet kan den personuppgiftsansvarige stödja sin behandling av personuppgifter på den rättsliga grunden ”berättigat intresse”. Exempel på dylika fall är:

  • Den registrerade är kund hos den personuppgiftsansvarige
  • Den registrerade arbetar för den personuppgiftsansvarige
  • Behandling som är nödvändig för att förhindra bedrägerier
  • Behandling för direktmarknadsföring

Notera att det alltid krävs att en noga avvägning görs och att den registrerade alltid kan motsätta sig behandlingen.

Vilka principer ska följas vid behandling av personuppgifter?
Vid behandling av personuppgifter finns vissa principer som man måste följa. Det viktigaste att ha i åtanke är att det alltid ska finnas ett syfte med behandlingen, att man inte får ha mer eller spara personuppgifter längre tid än att de uppfyller syftet med behandlingen. Dessutom ska personuppgifterna ska förvaras på ett sätt som uppfyller GDPRs krav på säkerhet.

Den personuppgiftsansvarige ska ansvara för och kunna visa att behandlingen sker på ett korrekt sätt.

Vem är personuppgiftsansvarig?
Det är alltid organisationen (bolaget/stiftelsen/föreningen). Ytterst är det dock styrelsen/ledningen som är ansvariga för att regleringarna följs. Det är därför viktigt att arbetet med GDPR planeras och anpassas. Det kan till exempel behöva införas nya rutiner för att tillmötesgå GDPRs utökade krav på gallring, öppenhet och sätt att tillmötesgå de registrerades rättigheter samt rutiner för att rapportera till Dataskyddsinspektionen om det har skett dataintrång. De nya regleringarna lägger stor vikt vid organisationens skyldighet att kunna visa att GDPR följs, vilket medför ökade krav på dokumentation.

Vad är ett personuppgiftsbiträde?
Personuppgiftsbiträde är den som, utanför den egna organisationen, behandlar personuppgifter för en personuppgiftsansvarigs räkning. Biträdet är alltså beroende av att en personuppgiftsansvarig har delegerat all eller delar av personuppgiftsbehandlingen till biträdet. Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

 

Nyheter i GDPR (jämfört med PUL)

Tydligare krav på att informera
Den registrerade har rätt att få information om personuppgifters behandling när hens personuppgifter behandlas av den personuppgiftsansvarige. Detta sker både när uppgifterna samlas in och när den registrerade begär det.

Informationen ska på ett lättfattligt sätt återge:

  • Kontaktuppgifter för frågor om behandlingen
  • Vad informationen ska användas till
  • Varför företaget har rätt att behandla personuppgiften (samtycke, avtal etc.)
  • Hur länge kommer informationen att sparas
  • Kontaktuppgifter till Datainspektionen

Informationen ska lämnas utan onödigt dröjsmål och allra senast en månad från mottagande av begäran (går att förlänga). Rätten inbegriper en kopia av de personuppgifter som är under behandling – för ytterligare kopior får personuppgiftsansvarig ta ut en rimlig kostnad.

Uppenbart ogrundad eller orimlig begäran kan vägras

Högre krav på radering av uppgifter eller ”Rätten att bli bortglömd”
Den registrerade har rätt att få sina personuppgifter raderade ”utan onödigt dröjsmål” bl.a. om:

  • Personuppgifterna inte längre är nödvändiga för ändamålet de samlades in.
  • Samtycket återkallas.
  • Den registrerades rättigheter väger tyngre än de berättigande skälen för behandlingen.

Notera att rätten att bli bortglömd inte är absolut. Om ni behandlingen av personuppgifter t.ex. grundar sig på avtal och avtalet fortsatt gäller, om behandlingen grundar sig på en rättslig förpliktelse eller om bolaget behöver uppgifterna för att göra gällande eller försvara rättsliga anspråk, behöver uppgifterna inte raderas (så länge ändamålet med behandlingen kvarstår).

Inbyggt dataskydd och dataskydd som standard
Det blir viktigt att ha en IT-struktur som möjliggör efterlevnad av GDPR som t.ex.:

  • att kunna ge ut registerutdrag
  • att kunna radera eller rätta uppgifter
  • att ha rutiner för lagring och resning
  • pseudonymisering/kodning
  • att ha säkra IT-lösningar som inte är lätta att ”hacka”.

Krav på att rapportera om dataintrång
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Sker det en personuppgiftsincident ska detta anmälas till tillsynsmyndigheten inom 72 timmar efter vetskap om intrånget.

Det ska även anmälas till den registrerade OM incidenten leder till hög risk för fysiska personers rättigheter och friheter.

Det finns krav i GDPR på att organisationen att kunna hantera en sådan rapportering.

Krav på konsekvensbedömning för vissa typer av behandling
Konsekvensbedömning ska ske om behandlingen innebär hög risk, t.ex. behandling av känsliga uppgifter, för de registrerades rättigheter. Man behöver då kartlägga åtgärder för riskminimering. Jag tänka mig att det finns behov av en sådan genomgång på skolan, dels pg.a. att barn anses som särskilt skyddsvärda i GDPR, del eftersom ni antagligen behandlar uppgifter som indikerar elevernas religionstillhörighet (t.ex. genom matpreferenser), etniskt ursprung (te.x. genom uppgifter om modersmål), uppgifter om hälsa (frånvaron kan indikera dålig hälsa, uppgifter som skrivs i SchoolSoft om anledning till sjukfrånvaro – detta bör för övrigt raderas asap när ni har tagit del av infon), anställdas sjukintyg osv. osv.

Krav på möjlighet till dataportabilitet
Om behandlingen bygger på samtycke och behandlingen sker automatiskt har den registrerade (när det är tekniskt genomförbart) rätt att

  • få ut sina uppgifter i ett strukturerat, allmänt använt och maskinläsningsbart format
  • överföra dessa uppgifter till en annan personuppgiftsansvarig.

Dataskyddsombud
Ett nytt begrepp i dataskyddsförordningen är dataskyddsombud. Med dataskyddsombud avses en person som utsetts för att vara ett stöd vid behandling av personuppgifter. På många sätt liknar det de personuppgiftsombud som finns i PUL, men inte fullt ut.

Det är obligatoriskt med dataskyddsombud för:

  • Myndigheter och andra offentliga organ,
  • bolag där kärnverksamheten består av att behandla personuppgifter som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller
  • där kärnverksamheten består av behandling i stor omfattning av känsliga personuppgifter

Organisationer som ser en nytta med att ha ett dataskyddsombud kan utse ett på eget initiativ. För organisationer som ser att de behöver göra anpassningar av verksamheten för att klara av kraven i dataskyddsförordningen kan det vara bra att ha ett dataskyddsombud i verksamheten.

Undantaget för ostrukturerad information försvinner
Enligt 5a § PUL fanns ett undantag beträffande behandling av personuppgifter som görs i ostrukturerad form, såsom löpande text i mejl eller mötesanteckningar. Det saknas ett liknande undantag i dataskyddsförordningen, vilket gör att även behandling som görs i ostrukturerad form från 2018 kräver lagligt stöd.

Möjlighet att använda sig av uppförandekoder
Dataskyddsförordningens olika regler ställer krav på dem som behandlar personuppgifter. En nyhet i GDPR är att branscher kan använda sig av uppförandekoder och standarder för att säkerställa att man agerar på rätt sätt. Dessa uppförandekoder ska godkännas av Datainspektionen och kan sedan användas av anslutna organisationer för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

Införande av ”avskräckande” sanktionsavgifter
Kan dömas ut om företaget inte lämnar information till den registrerade eller inte rapporterar intrång i tid. Den administrativa avgiften kan uppgå till det högsta av

  • 20 miljoner Euro, eller
  • 4 procent av den globala omsättningen (koncernnivå)


Tillbaka till kontaktsidan

 

 

      





Christina Löwenborg, Handledning, Psykoterapi & Utbildning • Mobil: 070-49 715 04 • info@lowenborg.eu

Formgivning: Ditte Tengvall