EU:s dataskyddsförordning

GDPR (General Data Protection Regulation) eller dataskyddslagen är en EU-förordning som ersatte PUL (Personuppgiftslagen) den 25 maj 2018. Lagen handlar om integritet, transparens, öppenhet samt ordning & reda. 

Det innebär i praktiken att ditt företag behöver vara mer transparent med vilken personlig data ni lagrar och vad ni gör med informationen. Ni måste även informera de registrerade om hur uppgifterna ska behandlas, begära samtycke om det behövs, tillåta insyn i behandlingen och ha rutiner för hur radering av uppgifterna sker. 

Syftet med den nya EU-förordningen är att stärka skyddet av personuppgifter för privatpersoner i hela EU. 

Grundläggande krav

Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövsinte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad syftet var när de samlades in.

Behandling

Behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Säkerhet

Säkerställande av lämplig säkerhet för personuppgifterna. Skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Lämpliga tekniska eller organisatoriska åtgärder.

Ändamål

Personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och behandlas på sätt som är förenligt med ändamålen. Definiera avsikten med insamlingen och användningen. Gäller även profilering*.

*Med ”profilering” menas kategorisering av personer, baserad på de registrerades personuppgifter. Till exempel e-handelsverktyg som skapar profileringar baserade på användarnas köpbeteende, ålder, kön m.m.

Bestämd lagringstid

Uppgifterna får inte förvaras i en form som möjliggör identifiering längre än vad som är nödvändigt för ändamålen. Det bör finnas en tidsfrist för radering eller för regelbunden kontroll för att säkerställa att personuppgifter inte sparas längre än nödvändigt.

Vad räknas som personuppgift?

”Varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras…”

Till exempel: Namn, personnummer, ID-nummer, lokaliseringsuppgift, lägenhetsnummer, kundnummer, e-post, telefonnummer, registreringsnummer, IP-nummer, bild, hälsodata, köphistorik eller andra känsliga uppgifter.

Vad räknas som personuppgiftsbehandling?

En åtgärd eller en kombination av åtgärder beträffande personuppgifter såsom: Insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, låsning, användning, utlämning genom överföring, radering eller förstöring oberoende om det sker automatiserat eller inte.

Vad behöver mitt företag göra?

Inventera

Dokumentera

Skapa rutiner

Systemstöd

Cassandra Karlsson

Dataskyddsjurist

GDPR

Möt vår GDPR-jurist

Cassandra är vår jurist som jobbar med GDPR-relaterade frågor hos oss och hos många av våra kunder.

Skriv till Cassandra för att berätta vad ni önskar hjälp med.

Dataskyddsarbetet i världen

Nedan presenterar vi statistik som Cisco tagit fram i samband med sin rapport från januari 2019 om hur företag kan maximera värdet av dataskyddsarbetets investeringsvärde.

Senast uppdaterat: Februari, 2019

GDPR-redo i procent

De största utmaningarna

WorkCloud

Effektivisera ert arbetssätt och få mer tid över till fantastisk kundservice

Med WorkCloud får företaget en effektiv samsyn över affärer, projekt och kundinformation. Du kommer gång på gång överraska dina kunder med tydlig struktur och extra bra kundservice.

Ett urval av våra moduler

GDPR-stöd

Fullt GDPR-stöd med rensnings- och anonymiseringsfunktion.

Ärendehantering

Förenkla och effektivisera administrationsprocessen i ditt företag.

Dokumenthantering

Samla alla dokument i ett slutet system som är åtkomligt överallt.

Säkra uppgifter

Skydda känsliga uppgifter, såsom inloggningsuppgifter, med kryptering.

Personsökning

Sök på olika personuppgifter och få fram var dessa uppgifter finns lagrade.

För att behandla personuppgifter

krävs en rättslig grund

Vilka rättsliga grunder finns det?

Avtal

Om behandling av personuppgifter är nödvändig för att uppfylla förpliktelser enligt avtal kan du stödja din behandla din behandling på avtal som rättslig grund.

Exempel: Uppgifterna krävs eftersom ni har ett avtal eller har för avsikt att ingå avtal med den registrerade personen (kundavtal, anställningsavtal, etc.).

Berättigat intresse

Här gör man en intresseavvägning mellan den personuppgiftsansvariges intresse av att behandla uppgifterna och den registrerades intresse av integritetsskydd för uppgifterna i fråga. Om den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn, är behandlingen förbjuden.

Exempel: Berättigat intresse kan finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, t.ex. i de fall den registrerade är kund hos eller arbetar för den personuppgiftsansvarige.

Skydda registrerades grundläggande (vitala) intressen

Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Exempel: När behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

Rättslig förpliktelse

Det finns en förpliktelse att lagra informationen enligt lag.

Exempel: Rättslig skyldighet att lagra information kan komma från bokföringslagen, lagstiftning kring penningtvätt, skattelagstiftning eller andra lagar som påverkar er verksamhet.

Uppgift av allmänt intresse eller myndighetsutövning

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning.

Exempel: Skolverksamhet

Samtycke

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Om du baserar på samtycke ska du kunna visa samtycket samt informera om vad, hur och var uppgifterna kommer att användas.

Exempel: Om du har ett formulär för nyhetsbrev så behöver du informera användaren att du sparar informationen för att senare använda i exempelvis marknadsföringssyfte.
 
Tänk på att du inte får flytta adresserna hur som helst mellan listor, inte heller ge dem vidare till andra om detta inte tydligt framgått när man skrev upp sig på listan. Det är heller inte okej att ha t ex check-boxar för mejlprenumeration checkade som förval.

Särskilt om samtycke

Krav för giltigt samtycke

Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats.
 
Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ett samtycke kan återkallas av de registrerade.
 
Tips! Fundera över hur ni ska kunna visa att ett giltigt samtycke har lämnats. Samla samtliga samtycken på ett ställe så att ni med lätthet kan hantera dem vid exempelvis återkallande av samtycke och skapa rutiner för rensning av samtycken som förfallit. 
job interview 1920x1340 1

Låt oss bli

din GDPR-konsult

Genom ett individuellt utformat samarbete kan vi effektivisera ert dataskyddsarbete.

Exempel från verkligheten

"GDPR-böter" för den som bryter mot lagstiftningen

Nedan följer några exempel på företag som drabbats av de höga sanktionsböter som företag riskerar att åläggas för om det inte investeras i ett dataskyddsarbete i enlighet med GDPR. 

Den första GDPR-bötern dömdes ut av DSB, som är tillsynsmyndighet i Österrike. Företaget som ålades att betala sanktionsavgiften på €4.800 ansågs ha för omfattande kameraövervakning.

REGLER FÖR KAMERAÖVERVAKNING
Du behöver ett berättigat intresse, kamera får inte vara dold, ska finnas tydlig skyltning där kamera är uppsatt, bevakning får inte ske om det skulle kunna anses som särskilt integritetskänsligt för den bevakade, bevakningen får endast ske för dess individuella syfte.

Tillsynsmyndigheten, CNPD, i Portugal utfärdade i oktober 2018 sin första GDPR-böter på €400.000. Det var ett sjukhus med både tekniska och organisatoriska säkerhetsbrister som drabbades av detta höga bötesbelopp.

Sjukhuset hävdade att de använde samma IT-system som tillhandahålls offentliga sjukhus av portugisiska hälsoministeriet, men CNPD beslutade att detta inte är ett giltigt skäl eftersom det är varje personuppgiftsansvariges ansvar att säkerställa att IT-systemen lever upp till kraven som ställs i GDPR.

Tysklands tillsynsmyndighet, LfDI, dömde i november 2018 ut sin första GDPR-böter i Tyskland. Bötern låg på €20.000 och gällde otillräckliga skyddsåtgärder hos ett tyskt företag. Ca 808.000 e-postadresser och lösenord hade läckt ut från en av företagets webbsidor i samband med en hackerattack. Bötern förmildrades tack vare att företaget samarbetade med tillsynsmyndigheten.

TILLRÄCKLIGA SKYDDSÅTGÄRDER
Viktig data såsom lösenord får inte lagras okrypterat i ren text.

FÖRMILDRADE SANKTIONER
Om du väljer att samarbeta med tillsynsmyndigheten vid en säkerhetsincident samt vidtar åtgärder för att minska konsekvenserna av incidenten, kan sanktionen förmildras.

I januari 2019 drabbades Google av den rekordhöga straffsumman på €50.000.000. Bötern var den franska tillsynsmyndigheten CNIL:s första sanktionsböter och utfärdades pga. Googles brist på transparens & information till den registrerade samt avsaknad av rättslig grund.

Informationskravet – De registrerade ska informeras om den behandling som den personuppgiftsansvarige utför.

Transparenskravet – De registrerade ska känna till vilka av deras personuppgifter som behandlas.

Rättslig grund – Grundregeln i GDPR är att det inte är tillåtet att behandla personuppgifter om det inte finns en rättslig grund för behandlingen.

Svenska tillsynsmyndigheten beslutade om en sanktionsavgift för en skola. Datainspektionen utfärdade en sanktionsavgift på 200.000 kronor för skolan som på prov använde ansiktsigenkänning via kamera för att registrera elevers närvaro.

Österrikiska posten

En sanktionsavgift på €18.000.000 utdömdes till den österrikiska posten för att de behandlat stora mängder personuppgifter, och delvis känsliga sådana, utan rättslig grund. De hade även, på ett olagligt sätt, gjort antaganden om personens politiska åsikter genom profilering i stor utsträckning, samt hanterat personuppgifter felaktigt för marknadsföringsändamål.

Fastighetsbolag i Tyskland

Ett tyskt fastighetsbolag drabbades av en sanktionsavgift på €14.500.000 pga. att bolaget brutit mot flera av de grundläggande dataskyddsprinciperna genom att lagra för mycket personuppgifter om hyresgäster under för lång tid (utan rättslig grund). Samtidigt lät de bli att implementera principen om inbyggt dataskydd, trots att de gjorts medvetna om bristerna vid en tidigare granskning ett par år tidigare.

RÄTTSLIG GRUND

Respektive personuppgiftsbehandling hos ett företag måste baseras på en rättslig grund. Om en behandling saknar rättslig grund anses den vara olaglig och därmed förbjuden. Principen är att företag inte ska behandla uppgifter som de egentligen inte behöver behandla.

Vad är en rättslig grund?

Den spanska dataskyddsmyndigheten utfärdade en sanktionsavgift på €30.000 mot ett flygbolag för att de hanterat cookies felaktigt på sin webbplats. Flygbolaget hade information om cookies på webbplatsen, men det fanns inte någon så kallad ”konfigurationspanel” som underlättar för varje användare att välja sina inställningar på ett mer aktivt och transparent sätt. 

Dricka kaffe eller prata business?

vi gillar båda delarna

Kontakta oss

skriv till oss nedan

Kom ihåg att inte uppge några känsliga personuppgifter som t.ex. personnummer eller lösenord m.m. För mer information se vår integritetspolicy.

*vid val av FJÄRRSUPPORT laddas vårt program för fjärrsupport ned på din enhet

Välkommen in

ditt kaffe väntar

Prata business?

skriv till oss nedan

Kom ihåg att inte uppge några känsliga personuppgifter som t.ex. personnummer eller lösenord m.m. För mer information se vår integritetspolicy.