Uppgiftsskydd enligt GDPR

I den allmänna dataskyddsförordningen fastställs detaljerade skyldigheter för företag och organisationer som samlar in, lagrar och behandlar personuppgifter. Reglerna gäller alla företag, oavsett om de är baserade i eller utanför EU.

När ska den allmänna dataskyddsförordningen tillämpas?

Dataskyddsförordningen gäller om

  • ditt företag behandlar personuppgifter och är baserat i EU, oavsett var den egentliga databehandlingen sker
  • ditt företag är baserat utanför EU men behandlar personuppgifter för att erbjuda varor eller tjänster i EU eller övervaka fysiska personers beteende i EU.

Företag i länder utanför EU måste i så fall utse en företrädare i EU.

När ska den allmänna dataskyddsförordningen inte tillämpas?

Dataskyddsförordningen gäller inte om

  • den registrerade personen är död
  • den registrerade är en juridisk person
  • uppgifterna behandlas av en person som agerar för ändamål som faller utanför hans eller hennes närings- eller yrkesverksamhet.

Vad är personuppgifter?

Personuppgifter är all information om en identifierad eller identifierbar person ( den registrerade), bland annat

  • namn
  • adress
  • id-kortsnummer/passnummer
  • inkomst
  • kulturell profil
  • IP-adress
  • hälso- och sjukvårdsuppgifter (som entydigt identifierar personen för vårdändamål).

Särskilda uppgiftskategorier

Du får inte behandla personuppgifter om

  • ras eller etniskt ursprung
  • sexuell läggning
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • genetisk eller biometrisk status eller hälsotillstånd utom i specifika fall (t.ex. om du har den registrerades uttryckliga samtycke eller om behandlingen är nödvändig av hänsyn till ett viktigt allmänintresse enligt europeisk eller nationell rätt)
  • fällande domar i brottmål och överträdelser utom när det är tillåtet enligt europeisk eller nationell rätt.

Vem har hand om uppgifterna?

När personuppgifter behandlas kan de hamna hos flera olika företag och organisationer. De viktigaste aktörerna är

  • den personuppgiftsansvariga som bestämmer för vilka ändamål och på vilka sätt personuppgifterna ska behandlas
  • databehandlaren som innehar och behandlar uppgifterna på en personuppgiftsansvarigs vägnar.

Vem övervakar företagets behandling av personuppgifter?

En del företag måste ha ett dataskyddsombud som övervakar hur uppgifterna behandlas, bistår berörd personal och informerar om personalens skyldigheter. Dataskyddsombudet ska också samarbeta med dataskyddsmyndigheten och fungera som kontaktpunkt mellan myndigheten och berörda personer.

När måste ett företag utse ett dataskyddsombud?

Ditt företag måste ha ett dataskyddsombud om

  • ni regelbundet eller systematiskt övervakar fysiska personer eller behandlar särskilda kategorier av uppgifter
  • uppgiftsbehandlingen ingår i er kärnverksamhet
  • ni behandlar uppgifter i stor skala.

Ni måste t.ex. ha ett dataskyddsombud om ni behandlar personuppgifter för att visa riktad reklam i sökmotorer på grundval av personernas beteende på nätet. Men om ni bara skickar reklammaterial till era kunder en gång om året behöver ni inget dataskyddsombud. En privat läkarmottagning som samlar in patientuppgifter behöver normalt inte heller ha något dataskyddsombud. Men om du behandlar uppgifter om personers genetiska status eller hälsotillstånd för ett sjukhus, då behöver du ett dataskyddsombud.

Dataskyddsombudet kan tillhöra företagets personal eller vara en extern person som man sluter ett tjänsteavtal med. Dataskyddsombudet kan vara en fysisk person eller ingå i en organisation.

Uppgiftsbehandling för ett annat företag

En personuppgiftsansvarig får bara anlita en databehandlare som ger tillräckliga garantier. Garantierna ska ingå i ett skriftligt avtal mellan de berörda parterna. Avtalet måste också innehålla en rad obligatoriska bestämmelser som bland annat anger att databehandlaren bara får behandla personuppgifter på instruktion från den personuppgiftsansvariga.

Överföring av uppgifter till länder utanför EU

När personuppgifter överförs till länder utanför EU ska skyddet enligt dataskyddsförordningen fortsätta att gälla. Ditt företag får därför bara exportera uppgifter utanför EU om något av följande kriterier är uppfyllt:

  • Ni har förvissat er om att landet har ett tillräckligt bra uppgiftsskydd enligt EU:s bedömning.
  • Ni sörjer själva för tillräckliga garantier, t.ex. genom att införa specifika bestämmelser i avtalet med den utomeuropeiska importören.
  • Ni har särskilda skäl (undantag) – t.ex. för att den berörda personen har gett sitt samtycke.

När får man behandla personuppgifter?

Enligt EU:s dataskyddsregler ska uppgifterna behandlas på ett lagligt och korrekt sätt för särskilda, uttryckligt angivna och berättigade ändamål och bara i den omfattning som krävs för att uppnå dessa ändamål. För att du ska få behandla personuppgifter måste något av följande villkor vara uppfyllt:

  • Personen i fråga har gett sitt samtycke.
  • Ni måste uppfylla ett avtal med personen i fråga.
  • Ni måste uppfylla en lagstadgad skyldighet.
  • Det är livsviktigt för personen i fråga.
  • Ni utför en uppgift av allmänt intresse.
  • Ni har ett eget berättigat intresse förutsatt att den berörda personers grundläggande rättigheter och friheter inte allvarligt påverkas, dvs. ni får inte behandla uppgifterna om personens rättigheter väger tyngre än företagets intressen.

Hur får man någons samtycke?

Enligt dataskyddsförordningen gäller strikta regler för behandlingen av personuppgifter på grundval av samtycke. Tanken är att man verkligen ska förstå vad man samtycker till. Principen är att samtycket ska lämnas som ett frivilligt, specifikt, informerat och otvetydigt svar på en begäran som formulerats på ett tydligt och enkelt språk. Samtycket ska lämnas genom en bekräftande handling, t.ex. genom att man skriver på ett formulär eller markerar en ruta på en webbplats.

Personuppgifterna får bara behandlas för de ändamål som samtycket avser. Man måste också kunna dra tillbaka sitt samtycke.

Insyn och öppenhet

Ni måste tydligt informera den registrerade personen om vem som behandlar personuppgifterna och varför. Ni måste åtminstone informera om

  • vem ni är
  • varför ni behandlar personuppgifterna
  • vad den rättsliga grunden är
  • vem som får tillgång till uppgifterna (i förekommande fall).

Eventuellt måste ni också

  • ange kontaktuppgifter till dataskyddsombudet (om ett sådant finns)
  • redogöra för företagets berättigade intresse (om detta är den rättsliga grunden)
  • förklara vilka åtgärder ni vidtar när uppgifterna överförs till ett land utanför EU
  • ange hur länge uppgifterna kommer att sparas
  • upplysa om personens rättigheter när det gäller skydd av personuppgifter (bland annat tillgång, rättelse, radering, begränsning, invändning och portabilitet)
  • förklara hur samtycket kan dras tillbaka (om samtycke är den rättsliga grunden)
  • redogöra för en eventuell lagstadgad eller avtalsenlig skyldighet
  • informera om kriterierna bakom och betydelsen och följderna av ett eventuellt automatiserat beslutsfattande.

Informationen ska vara tydlig och enkel.

Vad gäller för barn?

Om du vill samla in personuppgifter om ett barn som exempelvis vill använda sociala medier eller ladda ner något från nätet, måste du först skaffa vårdnadshavarens samtycke, t.ex. genom att skicka ett mejl till en förälder. Åldersgränsen för att själv kunna samtycka till behandling av personuppgifter är mellan 13 och 16 år beroende var barnet bor.

Rätt till tillgång och dataportabilitet

Du måste respektera den registrerade personens rätt att gratis få tillgång till sina personuppgifter. Om någon begär att få tillgång till sina uppgifter måste du

  • berätta om du behandlar hans eller hennes personuppgifter
  • informera om hur de behandlas (t.ex. ändamål, uppgiftskategorier och mottagare)
  • ge personen en kopia av uppgifterna i lättillgänglig form.

Om uppgiftsbehandlingen grundar sig på samtycke eller ett avtal kan den registrerade personen också begära att du lämnar ut uppgifterna eller överför dem till ett annat företag. Detta kallas dataportabilitet. Du måste lämna uppgifterna i ett vanligt och maskinläsbart format.

Rätt att korrigera och invända

Alla som anser att deras personuppgifter är felaktiga eller ofullständiga har rätt att få dem rättade eller kompletterade utan onödigt dröjsmål.

Om du rättar eller kompletterar uppgifter måste du också informera alla som du har delat uppgifterna med om detta. Eventuellt måste du också meddela dem som redan har sett de felaktiga uppgifterna (om detta inte medför en orimlig börda).

De registrerade får också när som helst invända mot uppgiftsbehandlingen för ett särskilt ändamål om ni behandlar uppgifterna för att ni har ett eget berättigat intresse eller utför en uppgift av allmänt intresse. Ni måste i så fall sluta att behandla uppgifterna utom om ert berättigade intresse väger tyngre än den registrerade personens intresse.

Samma sak gäller om en registrerad person begär en begränsning av uppgiftsbehandlingen medan det avgörs vems intressen som väger tyngst. När det gäller direkt marknadsföring måste ni däremot alltid genast sluta att behandla uppgifterna om den registrerade begär detta.

Rätt att radera sina personuppgifter (rätten att bli bortglömd)

Under vissa omständigheter kan en registrerad person begära att ditt företags personuppgiftsansvariga raderar personuppgifterna, t.ex. om de inte längre behövs för uppgiftsbehandlingens ändamål. Ni behöver dock inte radera uppgifterna om

  • behandlingen behövs för att värna yttrande- och informationsfriheten
  • ni måste behålla uppgifterna för att uppfylla en lagstadgad skyldighet
  • det finns andra skäl av allmänt intresse att behålla uppgifterna, t.ex. folkhälsoändamål, vetenskapliga ändamål eller historiska forskningsändamål
  • ni måste spara uppgifterna för att fastställa rättsliga anspråk.

Automatiserade beslut och profileringar

En registrerad person har rätt att slippa bli föremål för ett beslut som enbart grundas på automatiserad behandling. Det finns dock vissa undantag, t.ex. om personen i fråga uttryckligen har samtyckt till automatiserade beslut. Om det inte rör sig om lagstadgade automatiserade beslut måste ditt företag

  • informera personen om det automatiska beslutet
  • tillåta att en människa granskar det automatiska beslutet
  • ge personen möjlighet att invända mot det automatiska beslutet.

Exempel: Om en bank automatiserar sina beslut om en persons låneansökningar måste personen informeras om detta och ges möjlighet att invända mot beslutet och begära att en banktjänsteman behandlar ansökan.

Anmälan av personuppgiftsincidenter

En personuppgiftsincident föreligger om de personuppgifter som ditt företag ansvarar för kommer på avvägar eller olagligen lämnas ut till obehöriga, görs otillgängliga eller ändras.

Om personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter måste du anmäla incidenten till dataskyddsmyndigheten inom 72 timmar efter att ha fått vetskap om den.

Om incidenten innebär en allvarlig risk för de berörda personerna är du eventuellt skyldig att informera dem direkt.

Begäran från en registrerad person

Om ditt företag får en begäran från en fysisk person som hänvisar till någon av sina rättigheter, måste du svara utan onödigt dröjsmål och senast inom en månad. Om begäran är komplicerad eller gäller flera ärenden kan svarstiden förlängas till två månader, förutsatt att personen i fråga informeras. Du får inte ta betalt för att handlägga begäran.

Om du avslår en begäran måste du informera den berörda personen om dina skäl och upplysa om att han eller hon har rätt att klaga hos dataskyddsmyndigheten.

Konsekvensbedömning

Ditt företag måste alltid ta fram en konsekvensbedömning för dataskyddet när den planerade uppgiftsbehandlingen innebär en allvarlig risk för fysiska personers rättigheter och friheter, t.ex. om ni tänker använda ny teknik.

En allvarlig risk föreligger om ni

  • använder automatiserad behandling och profilering för att utvärdera fysiska personer
  • övervakar en allmän plats i stor omfattning (t.ex. kameraövervakning)
  • i stor omfattning behandlar särskilda kategorier av uppgifter (t.ex. uppgifter om hälsa) eller uppgifter om fällande domar i brottmål och överträdelser.

Obs: Dataskyddsmyndigheterna kan komma fram till att även andra kategorier av uppgiftsbehandling innebär en allvarlig risk.

Om åtgärderna i konsekvensbedömningen inte räcker för att undanröja de identifierade riskerna, måste ni rådfråga dataskyddsmyndigheten innan ni påbörjar den planerade uppgiftsbehandlingen.

Register

På dataskyddsmyndighetens begäran eller vid en inspektion måste ni kunna visa att företaget följer dataskyddsförordningen och uppfyller alla tillämpliga skyldigheter.

Vi rekommenderar därför att ni för ett detaljerat register över

  • företagets kontaktuppgifter
  • varför ni behandlar personuppgifter
  • vilka kategorier av fysiska personer som ni samlar in personuppgifter om
  • vilka kategorier av organisationer som ni lämnar personuppgifter till
  • vilka åtgärder ni vidtar när ni överför personuppgifter till andra länder eller internationella organisationer
  • hur länge ni sparar uppgifterna
  • vilka säkerhetsåtgärder ni vidtar när ni behandlar personuppgifter.

Ditt företag bör också skriva ner – och regelbundet uppdatera – rutiner och riktlinjer och informera personalen om dem.

Varning

Om du har ett litet eller medelstort företag en behöver du inte registrera din uppgiftsbehandling förutsatt att den

  • inte görs regelbundet
  • inte påverkar de registrerades rättigheter och friheter
  • inte gäller känsliga uppgifter eller kriminalregister.

Inbyggt dataskydd och dataskydd som standard

Med inbyggt dataskydd menas att företaget ska tänka på dataskydd redan i ett tidigt skede när man planerar nya sätt att behandla personuppgifter. Det innebär att den personuppgiftsansvariga ska vidta alla tekniska och organisatoriska åtgärder som krävs för att följa principerna för dataskydd och skydda fysiska personers rättigheter, bland annat genom pseudonymisering.

Med dataskydd som standard menas att företaget alltid ska ha den säkraste sekretessinställningen som standardinställning. Om det t.ex. finns två sekretessinställningar där den ena hindrar utomstående från att få tillgång till personuppgifter, så ska den väljas som standardinställning.

Överträdelser och påföljder

Om ditt företag bryter mot dataskyddsförordningen kan du få betala böter på upp till 20 miljoner euro eller 4 procent av företagets globala omsättning. Dataskyddsmyndigheten kan vidta ytterligare korrigerande åtgärder och t.ex. ålägga dig att sluta behandla personuppgifter.

Vanliga frågor – Skydd av personuppgifter och integritet på nätet Länk öppnas på ny sida

EU-lagstiftning

Behöver du hjälp från våra rådgivningstjänster?

Kontakta våra hjälp- och rådgivningstjänster

Har du frågor om att göra affärer utomlands, till exempel exportera eller expandera i ett annat EU-land? Enterprise Europe Network kan ge dig gratis rådgivning.

Du kan också använda vårt hjälptjänstsökare för att hitta rätt hjälp- eller rådgivningstjänst.

Senast kontrollerat: 06/07/2022
Dela denna sida