Kort om GDPR

Vad?

EU har beslutat om en ny dataskyddsförordning, General Data Protection Regulation (GDPR) som innehåller regler om hur man får behandla personuppgifter, denna kommer att ersätta nuvarande svenska personuppgiftslag PUL.

När?

Förordningen börjar tillämpas från den 25 maj 2018.

Varför?

För att ge ett ökat skydd för alla personer som är registrerade, samt för att personuppgiftsbehandlingen i alla EU-länder samt i de länder som väljer att följa den, exempelvis Norge, skall vara lika.

Vad är en personuppgift?

Personuppgifter är all information som kan knytas till en fysisk person som är i livet. Vanliga personuppgifter är personnummer, namn, adress och e-post.

Hur?

Mycket i GDPR liknar de regler som finns i Sverige idag i personuppgiftslagen. En viktig nyhet är att den som behandlar personuppgifter ska aktivt ta ansvar för och kunna visa att man följer reglerna i den nya dataskyddsförordningen (ansvarsskyldighet). Allt som har att göra med personuppgiftsbehandling ska finnas dokumenterat.

När och för vem gäller dataskyddsförordningen?

Dataskyddsförordningen gäller för alla verksamheter som behandlar personuppgifter, både när företaget själv bestämmer över behandlingen (personuppgiftsansvarig) och när företaget utför den på uppdrag av någon annan (personuppgiftsbiträde). Det är alltid den personuppgiftsansvarige som har ansvaret gentemot de registrerade.

Får man samla in och behandla personuppgifter?

Ja, men all behandling av personuppgifter måste uppfylla kraven i GDPR och vi ska kunna visa att det finns stöd i lagen för vår personuppgiftsbehandling. En sådan rättslig grund kan exempelvis vara samtycke eller om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade. Här följer fyra ”rättsliga grunder” som företag kan använda som skäl (se vidare i artikel 6 i GDPR):

- Rättslig förpliktelse - I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.

Avtal - Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter (endast uppgifter som är nödvändiga).

- Intresseavvägning - Om företaget kan visa att dess intresse av att hantera personuppgifterna väger tyngre än den enskildes rätt till privatliv.

- Samtycke - Ett alternativ är att fråga personen att få registrera uppgifter om honom/henne.

 

Utöver ovan finns två ytterligare skäl som kan tillämpas, men som inte är lika vanligt förekommande:

- Skydd för grundläggande intressen

Allmänt intresse och myndighetsutövning

 

Vad gäller för insamling av personuppgifter?

Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att om man ska spara personuppgifter måste man ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. Detta ska också dokumenteras skriftligt.

Mängden uppgifter ska även begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Företaget som behandlar personuppgifter måste kunna visa att reglerna följs.

Vem kontrollerar att den nya lagen efterlevs?

Datainspektionen kontrollerar att GDPR efterlevs i Sverige.