Vad är GDPR?

This page in English

EU beslutade i april 2016 om ett nytt regelverk för behandling av personuppgifter som börjar gälla den 25 maj 2018 och kallas dataskyddsförordningen eller GDPR (General Data Protection Regulation).

Förordningen kommer att gälla direkt i alla EU:s medlemsländer och ersätter nationella regler. Det innebär att den svenska personuppgiftslagen (1998:204), PuL, och personuppgiftsförordningen (1998:1191) upphör att gälla.

Syftet med GDPR

Sammanfattningsvis är syftet med GDPR att:

  • Förstärka skyddet för den enskildes eller den registrerades personliga grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

  • Möjliggöra fri rörlighet för personuppgifter inom EU.

  • Främja den inre marknaden för digitala tjänster genom ett harmoniserat regelverk.

  • Modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället.

GDPR ställer högre krav än PuL 

Dataskyddsförordningen innehåller några viktiga nyheter:

  • Alla organisationer( och företag) är enligt förordningen skyldiga att ha ett register som beskriver de olika sätt som man hanterar personuppgifter på. Vem internt som är ansvarig för ett visst register eller IT-system, vad används det till, vilka typer av personer förekommer i det, vilka typer av uppgifter och med vilken rättslig grund hanteras uppgifterna? (personuppgiftbehandlingsregister)

  • Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).

  • Man måste också ha stöd i förordningen för att hantera personuppgifter. Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (Laglig grund och tydligare beskriven databehandling)

  • Den registrerades rättigheter blir större då bl.a. att bli glömd, gallring, rensning samt möjlighet till dataportabilitet (registrerades rättigheter)

  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident)

  • Vissa organisationer samt myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud (DSO).

  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter (sanktionsavgift).

Vad är personuppgifter?

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter. Ja, till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i inspelningen. Ett bolagsnummer är ofta inte en personuppgift men är det om det handlar om en enskild näringsverksamhet. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person.

När och för vem gäller GDPR?

Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde.

När gäller inte GDPR?

Dataskyddsförordningen gäller inte vid behandling som är av rent privat natur, utförs av EU-organ eller sker som ett led i vissa utpekade verksamheter.

Överföring av personuppgifter utanför EU och EES

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Överföring av personuppgifter till tredje land får enligt dataskyddsförordningen ske om följande villkor uppfylls och under förutsättning att övriga regler i förordningen följs.

  • Överföring får bara ske till land som har adekvat skyddsnivå. EU-kommissionen avgör vilka länder som är godkända (skydd av fri- och rättigheter, rättsstatsprinciper m.m).

  • Särskilt tillstånd av Datainspektionen har erhållits.

  • Det finns olika typer av rättsligt bindande skyddsåtgärder som kan kompensera brister i nationellt rättssystem

  1. Mellanstatliga överenskommelser

  2. Bindande företagsbestämmelser

  3. Standardavtalsklausuler

  4. Certifieringar eller uppförandekoder

  • Särskilda undantag finns, såsom när den registrerade uttryckligen har gett sitt samtycke efter att ha fått information om riskerna med överföringen och fullgörande av avtal på den registrerades begäran.

Detta gäller både överföring till och tillgång till data från tredjeland.

Några centrala roller i GDPR

  • Personuppgiftsansvarig (PuA), den som bestämmer ändamålen med personuppgiftsbehandlingen, oavsett om någon annan utför själva behandlingen. Personuppgiftsansvariga är så gott som alltid ett företag, en organisation eller en myndighet.

  • Personuppgiftsbiträde (PuB), den som utför personuppgiftsbehandling för den personuppgiftsansvariges räkning. I GDPR får biträdet ett direkt ansvar och direkta skyldigheter. Detta medför bl.a. att avtalsrelationer bör uppdateras och att även biträden själva måste förhålla sig till en stor del av kraven i GDPR. 

  • Dataskyddsombud (DSO), en fysisk person som representerar den ansvarige i frågor som rör GDPR. Krav på utnämning av ombud för myndigheter.

Sanktioner

Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler.

När det gäller myndigheter föreslås sanktionsavgifter om

  • 10 miljoner kr vid procedurfel

  • 20 miljoner kr vid överträdelse av skyddsbestämmelserna