GDPR – Översikt

Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och ersätter då personuppgiftslagen (PuL).

 

Grunderna i dataskyddsförordningen

Har du ett kundregister, ett löne- eller personalregister, eller hanterar du i andra sammanhang personuppgifter, det vill säga uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person?

Då behöver du veta att EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och kallas dataskyddsförordningen eller GDPR.

Förordningen kommer att gälla direkt i alla EU:s medlemsländer och ersätter nationella regler, som till exempel personuppgiftslagen i Sverige.

Dataskyddsförordningen innehåller några viktigare nyheter

  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
  • Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
  • Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
  • I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder ikraft. Sådan behandling måste alltså följa förordningens regler.

En övergripande tanke med de nya reglerna är att tydligare betona att det företag, myndighet eller annan organisation som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs och kunna visa det (ansvarsskyldighet).

Det kan ske genom att man tar fram en särskild dataskyddspolicy och att man så långt som möjligt bygger in integritetsvänliga lösningar i sina system.

När och för vem gäller dataskyddsförordningen?

Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde.

Gäller Dataskyddsförordningen för privatpersoner?

Dataskyddsförordningen gäller inte för privatpersoner när det handlar om sånt som är av rent privat natur (eller som har samband med personens hushåll).

Men om personen exempelvis har en blogg som innehåller personuppgifter, ja då gäller (naturligtvis) GDPR!

 

INTEGRITETSSKYDD

Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet.

 

Överföring av personuppgifter utanför EU och EES

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler.

Dataskyddsförordningen innebär att alla EU:s medlemsstater har ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna Norge, Island och Liechtenstein. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.

Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU och EES har man ansett att överföring till sådana länder bara får ske under särskilda förutsättningar.

 

VAD ÄR EN PERSONUPPGIFT?

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Direkt identifierande personuppgift

  • Personnummer
  • Namn
  • E-post
  • Telefonnummer
  • Foto/Film
  • Ljudinspelning

Indirekt externt identifierande personuppgift

  • IP-adress
  • Kortnummer
  • Gatuadress
  • GPS-koordinater
  • Registreringsnummer till fordon
  • Fastighetsbeteckning

Indirekt internt identifierande personuppgift

  • Ordernummer
  • Fakturanummer
  • Kundnummer
  • Kontonummer
  • Anställningsnummer

Övriga kopplade personuppgifter

  • T ex saldo som är kopplat till ett kontonummer

Känsliga personuppgifter

  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Ras/etnisk ursprung
  • Hälsodata och sexuell läggning
  • Medlemskap i fackförening
  • Genetisk och biometrisk data

 

VAD ÄR EN BEHANDLING?

Behandling omfattar varje åtgärd eller kombination av åtgärder med personuppgifter oberoende om de utförs automatiserat eller inte.

GDPR ställer krav på Personuppgiftsansvarig (PuA) att upprätta ett behandlingsregister över samtliga behandlingar som inkluderar personuppgifter.

Exempel på behandling är:

  1. Insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring
  2. Framtagning, läsning, användning, utlämning genom överföring eller spridning
  3. Justering eller sammanförande
  4. Begränsning, radering eller förstöring

GDPR för privatpersoner

Guiden är framtagen för att belysa dom viktigaste delarna i Dataskyddsförordningen GDPR som berör dig som privatperson.

GDPR träder ikraft den 25 maj 2018.

Guiden GDPR för PRIVATPERSONER går att läsa i din smartphone, på surfplattor och i datorer och består av nio kapitel.

Guiden lägger stort fokus på att förmedla dina rättigheter du har som privatperson när den nya Dataskyddsförordningen börja gälla och vilka krav du kan ställa på företag, myndigheter och organisationer som hanterar och behandlar dina personuppgifter.

Guiden ger också kunskap om vad du skall tänka på innan du delar med dig av dina personuppgifter till företag, myndigheter och organisationer.

Guiden börjar med övergripande information om GDPR, och vad du som privatperson behöver känna till, och fortsätter sedan med kapitlet ”Dina rättigheter”. I sista kapitlet redovisas referenser och länkar.

Dom andra kapitlen berör vad du skall tänka på innan du lämnar ifrån dig personuppgifter samt om du som privatperson driver en blogg som innehåller personuppgifter.

Kursen är gratis!