Vanliga frågor

GDPR står för General Data Protection Regulation, som i Sverige kallas Dataskyddsförordningen, och är en EU-förordning som gäller för samtliga medlemsländer inom EU. Lagen reglerar skydd för individens fri- och rättigheter. Den ersätter eller ställer krav på andra nationella lagar om ändringar och följs inte lagen kan organisationen få höga sanktioner.

Dataskyddsförordningen har som mål att:

• Skydda fysiskt levande individers fri- och rättigheter. Öka den personliga integriteten.
• Det ska finnas likvärdigt skydd av personuppgifter inom hela EU/EES
• Personuppgifter ska kunna flöda fritt inom EU/EES
• Vara mer anpassad till det digitala samhället

Dataskyddsförordning grundar sig på:

• De mänskliga rättigheterna om rätt till respekt för privat- och familjeliv, hem och korrespondens, Europeiska konventionen.
• Grundläggande rättigheter i EU:s stadga om rätt till skydd för personuppgifter, vilken är bindande för alla medlemsländer.
• Svensk grundlagsstadgad rätt för skydd om personliga integritet vid behandling av personuppgifter i regeringsformen.

Alla organisationer och offentlig verksamhet som hantera personuppgifter på ett eller annat sätt ska följa GDPR.

För att följa lagen, som grundar sig på principer som ska uppfyllas, behöver organisationen implementera GDPR i sin verksamhet, som innebär att policys, rutiner och processer ska upprättas.
När allt är på plats och verksamheten arbetar, förvaltar, det som är implementerat ska GDPR vara en del i vardagen för organisationen.
Efterlevnaden av det regelverk som organisationen har implementerat behöver kontrolleras, revideras, uppdateras och eventuellt nytt som tillkommit behöver implementeras.
Som många andra delar i ett företag har GDPR olika faser som ska leva i organisationen. Den kan se olika ut beroende på vilken typ av organisation och krav som ställs. Organisationen ska säkerställa skyddet av individens personuppgifter och vara beredd på att bli reviderade i form av tillsyn av Integritetsmyndigheten.

Integritet är att värna om sina privat uppgifter och sin privata sfär, att själv få bestämma över vad och till vem dessa uppgifter ska delas med. Det är varje individs rätt till ett privatliv och att det går att agera fritt utan att bliv övervakad eller störd. Rätten till integritet finns som skydd i FN:s konventioner om mänskliga rättigheter, den svenska regeringsformen och i Europakonventionen. En förutsättning för demokrati och den enskilda människans frihet.

• Informationsintegritet – sekretess för dina personuppgifter, dvs dataskydd/integritetsskydd
• Territoriell integritet – syftar till staters rätt att agera på egen hand inom eget territorium utan utländskt intrång
• Kroppslig integritet – rätten att bestämma över sin egen kropp
• Kommunikationsintegritet – integritet på nätet, e-post eller samtal

En personuppgift är uppgifter som identifierar en fysiskt levande person, direkt eller indirekt.
Förutom de vanligaste kategorierna av personuppgifter som namn och kontaktuppgifter kan även en personuppgift vara en lokaliseringsuppgift eller en online identifiering. Det kan även vara en eller flera faktorer som identifierar individens fysiska, ekonomiska, sociala, genetiska, psykiska eller kulturella identitet. Dessa anges inom GDPR som kategorier av personuppgifterna och inte faktiska uppgifter. Personuppgifter kan vara branschspecifika där det finns kategorier som inte finns i andra branscher.
Exempel på vanligt använda kategorier av personuppgifter som kan direkt kopplas till individen:
Namn, adress, mobilnummer, telefonnummer, e-postadress, personnummer, foto/video, signatur/underskrift, röstinspelning, kortnummer
Exempel på kategorier av personuppgifter som indirekt är kopplade till en individ:
Bilregistreringsnummer, anställningsnummer, kundnummer, IP-nummer, användarnamn

Personuppgifter som är extra skyddsvärda, är uppgifter som inte ingår i känsliga personuppgifter, nämnda som ”särskilda kategorier” i Dataskyddsförordningen, utan personuppgifter som behöver skyddas mer än vanliga personuppgifter och mindre än känsliga personuppgifter. De personuppgifter som ingår i denna ”klass” kanske inte gör det i andra länder inom EU.
Exempel på extra skyddsvärda personuppgifter är:
Personnummer (Sverige), omdömen, kompetensnivå, prestationsmätningar, inkomst, skulder, skatt, utmätning av lön

Huvudregeln, i Dataskyddsförordningen, förbjuder behandling av känsliga personuppgifter klassade som ”särskilda kategorier av personuppgifter”.
Behandling av personuppgifter som är förbjudna avslöjar ras, etniskt ursprung, politiska åsikter, religiösa eller filosofisk övertygelse, medlemskap i fackförening, behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa, uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Exempel på undantagen för behandling av känsliga personuppgifter:

• Den registrerade har uttryckligen lämnat sitt Samtycke
• Behandlingen är nödvändig för att uppfylla andra rättsliga skyldigheter
• Behandling är nödvändig för att bedöma en arbetstagares arbetskapacitet

En personuppgiftsbehandling är olika slags hantering av personuppgifter, så som till exempel: insamling, registrering, lagring, bearbetning, framtagning, läsning, användning, utlämning, begränsning, radering eller förstöring av personuppgifter.

Tillsynsmyndigheten i Sverige, Integritetsmyndigheten, är den myndighet som granskar att reglerna för dataskyddsområdet följs.

GDPR gäller överallt där personuppgifter behandlas. Det vill säga i både små företag, stora företag, organisationer, föreningar, myndigheter och privatpersoner.

• Personuppgiftsbehandling sker inom EU av Personuppgiftsansvarig eller ett personuppgiftsbiträde som finns inom EU
• Personuppgiftsbehandling sker när en organisation som inte är etablerad i EU men erbjuder sina varor och tjänster till personer som befinner sig inom EU
• Personuppgiftsbehandling sker när en organisation som inte är etablerad i EU men erbjuder sina varor och tjänster till personer som befinner sig inom EU
• Personuppgiftsbehandling sker när en organisation som inte är etablerad i EU men övervakar människors beteende som befinner sig i EU, det vill säga att organisationen spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.

Om personuppgifter delas med något annat företag, myndighet, offentlig sektor ska relationen identifieras. Det är viktigt att ha kartlagt vilken typ av relation som finns till respektive instans för att säkerställa att de personuppgifter som delas på rätt sätt men även också att fördela ansvaret mellan instanserna.
Exempel på olika typer av relationsdelning:

• Personuppgiftsansvarig till Personuppgiftsansvarig
• Personuppgiftsansvarig till Personuppgiftsbiträde
• Gemensamt personuppgiftsansvar