GDPR & personuppgiftslagen

GDPR – eller som regelverket benämns på svenska, dataskyddsförordningen – upplevas av många som svårnavigerat. Syftet med GDPR är att stärka enskilda individer rättigheter samt att harmonisera dataskyddslagstiftningen inom EU. I den här artikel ges en introduktion och några användbara tips som hjälper er att komma i gång med efterlevnaden av GDPR.

GDPR påverkar alla verksamheter inom EU som behandlar personuppgifter. Ett centralt begrepp i förordningen är »personuppgiftsansvarig«. Personuppgiftsansvarig definieras som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Ansvaret faller normalt på själva organisationen, men i vissa fall kan en enskild fysiska person bli personuppgiftsansvarig – t.ex. när någon bedriver enskild näringsverksamhet. Skyldigheterna som följer av GDPR vilar på den personuppgiftsansvarige, som också står under tillsyn av Datainspektionen.

Vad menas med personuppgifter?

Med personuppgifter menas all information som direkt eller indirekt kan kopplas till en enskild fysisk person. Begreppet tolkas brett och inbegriper alla typer av uppgifter som ensamt (t.ex. ett personnummer) eller tillsammans med andra uppgifter (t.ex. namn och adress) kan kopplas till en fysiskt person. För att exemplifiera begreppets bredd kan t.ex. nämnas att behandling av bilder och ljudupptagningar ofta faller in under ”personuppgifter” i den mening som avses i GDPR. Det avgörande kriterier är huruvida den som tar del av uppgiften, direkt eller indirekt, kan identifiera en enskild fysisk person.

Personuppgifter kan vara av objektiv eller subjektiv karaktär. Med objektiva personuppgifter menas exempelvis namn, adress och telefonnummer. Subjektiva personuppgifter är faktorer som är specifika för den berördes fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Här inbegrips bl.a. egenskaper och bedömningar, t.ex. ett läkarutlåtande eller ett betyg som kan knyta till enskild.

Även krypterade personuppgifter omfattas normalt av GDPR. Förutsättningen är att någon kan göra uppgifterna läsbara och därmed identifiera en enskild fysisk person.

Vilka former av personuppgiftsbehandling omfattas av GDPR?

GDPR gäller både för helt eller delvis automatiserad behandling av personuppgifter och för manuell behandling av uppgifter som ingår i eller kommer att ingå i ett register. Med automatiserad behandling menas att personuppgifterna behandlas elektroniskt i någon form av system. Manuell behandling inbegriper exempelvis ett sökbart register som förvaras i en pärm.

Grundläggande för efterlevnad av GDPR är:

• Att personuppgifterna behandlas på ett lagligt, korrekt och öppet sätt gentemot den registrerade.
• Att personuppgifter enbart får vara insamlade för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
• Att behandlade personuppgifter är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
• Att behandlade personuppgifter är riktiga och om nödvändigt uppdaterade. Rimliga åtgärder måste vidtas för att säkerhetsställa att felaktiga personuppgifter (i förhållande till ändamålet) raderas eller rättas utan dröjsmål.
• Att behandlade personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för att uppfylla de ändamål för vilka uppgifterna behandlas.
• Att personuppgifter behandlas på ett sätt som – med användning av lämpliga tekniska eller organisatoriska åtgärder – tillgodoser lämplig säkerhet för personuppgifterna. Personuppgifter ska behandlas med ett adekvat skydd för den registrerades konfidentialitet och integritet.

Lagliga grunder för behandling av personuppgifter

För lovlig behandling av personuppgifter krävs dels att det föreligger ett berättigat ändamål, dels att minst en av de lagliga grunder som räknas upp i GDPR är uppfylld. Härvid är behandlingen laglig om den registrerade har lämnat sitt samtycke. Ett sådant samtycke måste ges innan behandlingen påbörjas och kan alltså inte med giltig verkan lämnas i efterhand. Med samtycke menas i sammanhanget en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne. Ett sådant samtycke kan exempelvis lämnas genom digital signering.

Laglig grund för behandling av personuppgifter föreligger också när behandlingen är nödvändig för att fullgöra eller ingå ett avtal. Likaså om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. För offentlig verksamhet föreligger också laglig grund om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller om behandlingen är nödvändig som ett led i sedvanlig myndighetsutövning.

Laglig grund föreligger också när behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller tredje parts berättigade intressen. Det gäller dock inte om den registrerades intressen eller grundläggande rättigheter väger tyngre och därför måste en intresseavvägning göras. Här kan erinras om att huvudsyftet med GDPR är att skydda enskilda individer. Kravet på att behandlingen måste vara »nödvändig« för ett »berättigat intresse« är därför högt ställt. Ett exempel på berättigat intresse skulle kunna vara att behandlingen är nödvändig för att förhindra ett bedrägeri.

Extra skydd för särskilt känsliga personuppgifter

Vissa personuppgifter anses särskilt integritetskänsliga och för dessa föreligger ett extra starkt skydd. Känsliga personuppgifter är sådana som avslöjar ras eller etniskt ursprung, sexualliv eller sexuell läggning, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska eller biometriska uppgifter och uppgifter om hälsa.

Som huvudregeln är behandling av sådana personuppgifter förbjuden, men det finns en rad undantag. Som exempel – uppräkningen är alltså inte uttömmande – kan nämnas:

• När uttryckligt samtycke föreligger.
• När behandlingen avser personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
• När behandlingen är nödvändig för att skydda den registrerades intressen och den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
• När behandling utförs av ett icke vinstdrivande organ – t.ex. en stiftelse eller ideell förening – som har ett politiskt, religiöst eller fackligt syfte och det sker inom ramen för dennes verksamhet.
• När det gäller viss offentlig verksamhet, t.ex. sjukvård, för forskningsändamål och andra sammanhang där personuppgiftsbehandling är nödvändig med hänsyn till ett viktigt allmänt intresse.

Den registrerades rättigheter

Rätten till information

GDPR föreskriver en rad rättigheter åt den som får en personuppgift registrerad. Till att börja med ska den personuppgiftsansvarige lämna information till den registrerade i fråga om vad dennes uppgifterna kommer att använda till. Vanligen samlas personuppgifter in direkt från den registrerade och då ska information lämnas direkt vid inhämtandet. Om uppgifterna däremot härstammar från en annan källa än den registrerade själv, ska den registrerade informeras inom en månad.  

Vad gäller informationen i sig ska den lämnas i en koncis, begriplig och lättillgänglig form med användning av klart och tydligt språk. Mer konkret innebär det att en genomsnittsmedlem av den avsedda målgruppen ska kunna förstå informationen. Därmed är kravet på begriplighet också högre om informationen riktas till minderåriga. I allmänhet bör så lite utrymme som möjligt lämnas för missförstånd. Om målgruppen exempelvis är tonåringar är ett rimligt förhållningssätt att utgå från att även ett yngre barn ska kunna förstå.

På begäran har den registrerade också rätt att få del av ett utdrag med upplysningar om, hanteringen av dennes personuppgifter. Upplysningarna ska lämnas utan dröjsmål och under alla omständigheter senast en månad efter begäran. Med upplysningar menas här bl.a. information om ändamålet med behandlingen, den lagliga grunden för behandlingen, vilka kategorier av personuppgifter som behandlingen gäller och information om hur länge personuppgifterna kommer att lagras. Den registrerade har också rätt att få veta vilken mottagare eller vilka kategorier av mottagare som ska ta del av uppgifterna samt huruvida den personuppgiftsansvarige avser att överföra uppgifter till en extern mottagare.

Om den registrerade lämnar en begäran i elektronisk form ska informationen om möjligt också tillhandahållas denne i elektronisk form. Huvudregel är också att utdraget ska lämnas kostnadsfritt till den registrerade. Är begäran uppenbart orimlig eller ogrundad får en mindre avgift dock tas ut för att täcka administrativa kostnader – så kan exempelvis vara fallet vid repetitiva förfrågningar som ligger nära varandra i tid.

Det är rekommendabelt är att vara så pass tydlig med sin insamling av personuppgifter att den registrerade redan på förhand kan avgöra syftet med och konsekvenserna av behandlingen. Det bör aldrig i efterhand komma som en överraskning för den registrerade hur dennes personuppgifter har använts.

Rättelse, begränsning, invändning samt rätten att bli bortglömd och andra rättigheter

När den registrerades personuppgifter är felaktiga eller ofullständiga har han eller hon rätt att få uppgifterna rättade respektive kompletterade. Har personuppgifter lämnats vidare till tredje man ska den personuppgiftsansvarige, om det inte visar sig omöjligt eller alltför betungande, meddela mottagaren att uppgifterna har rättats eller kompletterats.

Under vissa förutsättningar har den registrerade en rätt att bli raderad, på engelska känt som ”the right to be forgotten” (rätten att bli bortglömd). Rätten att bli raderad gäller i följande fall. När uppgifterna inte längre är nödvändiga för behandlingens ändamål, när den registrerade återkallar sitt samtycke eller invänder mot behandlingen, när uppgifterna har behandlats på ett olagligt sätt, när uppgifterna måste raderas för att uppfylla en rättslig förpliktelse samt när uppgifterna har samlats in i samband med att ett barn har skapat en profil i ett socialt nätverk. I vissa fall kan den registrerade i stället begära att behandlingen av dennes personuppgifter begränsas. Exempelvis om en registrerad misstänker att hans eller hennes personuppgifterna är felaktiga. Då kan den registrerade begära att behandlingen begränsas under den tid som den personuppgiftsansvarige behöver för att kontrollera uppgifternas korrektheten.

Vidare finns några situationer då en registrerad har rätt att invända mot behandlingen av hans eller hennes personuppgifter. Bl.a. kan en invändning göras när personuppgifter behandlas för direkt marknadsföring. En sådan invändning är giltig i förhållande till direkt marknadsföring men hindrar inte fortsatt behandling av samma personuppgifter för andra ändamål. En invändning är giltig även om den registrerade tidigare har samtyckt till marknadsföring.

Nämnas bör också, även om det inte behandlas närmre här, att GDPR medför en rätt för den registrerade till s.k. dataportabilitet samt en rätt att inte bli utsatt för automatiserat beslutsfattande, inklusive profilering.

Dataskyddsombud

För många verksamheter är det obligatoriskt att utse ett s.k. dataskyddsombud. Dataskyddsombudet har till uppgift att kontroller efterlevnaden av GDPR och kan anlitas såväl internt som extern. Det är bl.a. obligatoriskt med ett datasskyddsombud när kärnverksamheten består av personuppgiftsbehandling som – pga. sin karaktär, omfattning eller ändamål – kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Likaså när kärnverksamheten i stor omfattning hanterar sådana särskilt känsliga personuppgifter som har beskrivits under en egen rubrik ovan.

Omfattande reglering

GDPR är omfattande och flera delar av regelverket har inte avhandlats i artikel. Den som är skyldig att efterleva GDPR måste utöver ovanstående också äga kunskap om och tillämpa bestämmelser avseende bl.a. säkerhet, gallring, konsekvensbedömningar, uppförandekoder, certifiering, hantering av s.k. datakakor (cookies) samt hantering av s.k. personuppgiftsincidenter med mera.

Konsekvenserna för den som bryter mot förordningen kan bli synnerligen stora och därför är det starkt rekommenderat att ta hjälp av expertis på GDPR efterlevnad. Att bryta mot GDPR är förenat med sanktionsavgifter som – beroende på vilken summa som är störst – kan uppgå till 20 miljoner euro eller 4% av verksamhetens globala årsomsättning. Fysiska personer som har lidit materiell eller immateriell skada kan också ha rätt till personligt skadestånd.

Så kommer du i gång med GDPR

Börja med att kartlägg och dokumentera all personuppgiftsbehandling. Det kan röra sig om en större digital databas, så som när enskilda registrerar sig med personuppgifter på en webbplats. Men också om mindre omfattande och enklare behandling av personuppgifter, t.ex. ett sökbart register över anställda som har kvitterat ut en nyckel till en arbetsplats.

När kartläggningen är klar är det viktigt att mycket noggrant kontrollera att alla grundläggande krav är uppfyllda. Säkerhetsställ att personuppgifterna behandlas för ett berättigat ändamål och att behandlingen vilar på laglig grund. Kontrollera även om den registrerades rättigheter kan tillgodoses samt om behandlingen inbegriper någon särskilt integritetskänslig uppgift. När samtycken inhämtas, är det lämpligt att dokumentera vart och ett av dessa.

Behöver du hjälp eller har frågor om GDPR är du varmt välkommen att höra av dig till DER Juridiks erfarna jurister!