Dataskydd & GDPR, vad det är och hur det funkar!
×

Lundberg & Associates

Hem

Om Oss

Områden

Blogg

Dataskydd & GDPR

Senast uppdaterad: Sept. 27, 2021

Uppgifter, personuppgifter inkluderat, hanteras dagligen. EU’s dataskyddslagstiftning påverkar många organisationer, såsom företag, kommuner, myndigheter med flera. Nästan alla organisationer hanterar personuppgifter på något sätt, exempelvis personuppgifter om kunder, anställda eller medlemmar. Det är viktigt att organisationer, oavsett typ av organisation, förstår sina skyldigheter gentemot de vars personuppgifter organisationerna hanterar samt vad som krävs för att hantera personuppgifter på ett sätt som krävs enligt lag.

Dataskydd regleras i hela EU the General Data Protection Regulation, kort benämnd GDPR. GDPR säkerställer att personuppgifter är skyddade och att organisationer som hanterar personuppgifter gör det på ett rättvist, transparent och ansvarsfullt sätt. Vi kommer i denna text kortfattat beskriva vad som anses vara personuppgifter, när en organisation anses hantera personuppgifter och, på hög nivå, hur organisationer kan hantera personuppgifter i enlighet med GDPR.

Vad är personuppgifter?

Personuppgifter är all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Delar av information som, när de kombineras, kan identifiera en fysisk person kan också vara personuppgifter. Även bild- och ljuduppgifter om en fysisk person räknas som personuppgifter, även om inga namn nämns. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person. För att avgöra om något utgör personuppgifter kan frågan ställas om information eller delar av information som kombineras göra att en fysisk person kan urskiljas från andra fysiska personer.

Ovan kan brytas ner i 4 steg för att identifiera personuppgifter, allt för att kunna bedöma vad som utgör personuppgifter.

Några exempel på personuppgifter:

  • Namn
  • Adress
  • E-post adress
  • Personnummer
  • IP - adress

Exempel på information som inte anses vara:

  • Företags organisationsnummer
  • Anonymiserad information

Det är viktigt att veta att vissa typer av information anses vara känsliga personuppgifter som behöver starkare skydd. Personuppgifter som anses behöva starkare skydd är till exempel personuppgifter som avslöjar etniskt ursprung, religiös övertygelse, genetiska uppgifter, hälsouppgifter m.m.

När anses det att personuppgifter hanteras?

Nästan allt en organisation gör och varje åtgärd som vidtages rörande personuppgifter anses som hantering av personuppgifter. Hantering är en åtgärd eller flera åtgärder, automatiska eller manuella, som rör personuppgifter och inkluderar exempelvis att samla in, lagra, analysera, aggregera, dela, radera, ändra, registrera, använda personuppgifter. När en organisation samlar in personuppgifter startar hanteringen av personuppgifter och hanteringen pågår till att personuppgifter är helt raderade. GDPR stipulerar inga särskilda krav på teknologi och skyddar hanteringen av personuppgifter oavsett hur de hanteras. Några praktiska exempel på hantering är utskick av E-postmeddelande i marknadsföringssyfte, uppgifter om anställda och lön, spara och använda information som samlats in genom en undersökning.

GDPR omfattar hantering som är helt eller delvis gjord med automatiserad behandling. Med detta avses att hanteringen är helt eller delvis gjord utan inblandning av en fysisk person. Det gäller också icke-automatiserad behandling om det är en del av ett strukturerat arkiveringssystem, det vill säga det är organiserat enligt fördefinierade kriterier.

Personuppgiftsansvarig och Personuppgiftsbiträde

När en organisation hanterar personuppgifter, gör organisationen det i en av 2 roller. Att förstå den roll en organisation har är viktigt för att förstå vilket ansvar organisationen har enligt GDPR.

En organisation anses antingen vara personuppgiftsansvarig eller personuppgiftsbiträde och detta är inte upp till en individ eller organisation att bestämma ut bestäms av GDPR. Båda roller har ansvar enligt GDPR och riskerar stora böter och ersättningskrav om de inte uppfyller sina skyldigheter enligt GDPR.

Personuppgiftsansvarig är den organisation som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig vilket till exempel är fallet för enskilda firmor.

Personuppgiftsbiträde, å andra sidan, är en individ eller organisation som behandlar personuppgifter för en personuppgiftsansvarigs räkning. För att förklara ytterligare bestämmer en personuppgiftsansvarig till exempel hur personuppgifter ska samlas in, varför de samlas in, vad de ska användas till, vem de ska delas med och mer. Personuppgiftsbiträde har inget självständigt beslutsfattande över personuppgifterna utan följer instruktioner i hanteringen av personuppgifter. och gör med personuppgifterna vad den registeransvarige säger åt dem. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation och kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

Viktigt att veta är att en organisation kan både vara personuppgiftsansvarig och personuppgiftsbiträde. Det är därför rekommenderat att organisationer utvärderar och dokumenterar i vilken roll organisationen agerar i dess hantering av personuppgifter.

Jag hanterar personuppgifter, betyder det att GDPR är tillämplig på min hantering?

GDPR gäller för hantering av personuppgifter av personuppgiftsansvariga och personuppgiftsbiträden som är:

  • etablerade i EU oavsett om hanteringen sker i EU eller inte
  • inte etablerade i EU men hanterar personuppgifter som avser den registrerade, dvs den som en personuppgift handlar om, i samband med att en vara eller tjänst erbjuds eller vid insamlande av data för utvärdera beteende,
  • inte etablerade i EU men etablerade någonstans där EU rätt gäller.

Det finns några undantag till reglerna om hantering men de är få. Till undantagen gäller hantering av information utanför EU’s lagar såsom nationell säkerhetsverksamhet, behandling för brottsbekämpning och allmän säkerhetsverksamhet samt rena hushållstjänster.

Hur kan en organisation hantera personuppgifter i enlighet med GDPR?

GDPR kräver att personuppgifter som omfattas av GDPR hanteras enligt vissa principer, som vi har sammanfattat här. Hantering av personuppgifter måste ske transparent, personer vars personuppgifter hanteras måste vara informerade därom och få specifik information angående vad och varför personuppgifter hanteras. Behandlingen av personuppgifter bör endast göras för ett begränsat syfte och endast de personuppgifter som krävs för uppfylla syftet får samlas in och behandlas. Personuppgifter ska hanteras säkert, vara uppdaterade och korrekta sant endast lagras så länge som det är nödvändigt och relevant för det syftet med hanteringen.

Hantering av personuppgifter är endast tillåtet om den som hanterar personuppgifter har rättslig grund för hanteringen. GDPR anger 6 olika grunder för rättfärdigande av hantering personuppgifter. En personuppgiftsansvarig måste ha 1 rättslig grund för varje hantering och vi rekommenderar att inte använda mer än 1 rättslig grund för varje individuell hantering. Utöver att uppfylla 1 av de 6 rättsliga grunderna kan organisationer som hanterar känsliga personuppgifter eller som vill skicka personuppgifter utanför Europeiska Ekonomiska Samarbetsområdet endast göra det om hanteringen uppfyller ytterligare villkor.

Organisationer som hanterar personuppgifter måste också vara transparenta i behandlingen och kommunicera med registrerade vars uppgifter hanteras. Information om behandling måste ske och viss information inom rätt tid måste lämnas till registrerade. Vanligt är information lämnas i ett meddelande eller en policy på webbplatser eller i kommersiell kommunikation. Information ska lämnas på ett lättillgängligt sätt, enkelt språk och gratis.

Sammanfattning

Organisationer som omfattas av GDPR bör förstå sitt ansvar under GDPR och följa dess regler.

Personuppgifter som behandlas bör kartläggas för att avgöra om en organisation agerar i rollen som personuppgiftsansvarig, personuppgiftsbiträde eller både och, detta för varje hantering som utförs

Vid varje hantering bör rättslig grund definieras och informeras för att vara förberedd för att ta ansvar enligt GDPR. Att ta ansvar innebär att vara transparent och ha en GDPR policy, bestämma lagringsperioder, fastställa processer för att tillgodose den registrerades rättigheter med mera. Vi har lång erfarenhet av att stödja organisationer av olika storlekar och olika slag för att uppfylla sina skyldigheter enligt GDPR och stöder gärna om det finns frågor.