Översikt över de viktigaste aspekterna av GDPR

Vad är GDPR? Vad står GDPR för? EU:s GDPR-förordning har världen över skapat den största förändringen i dataskydd någonsin, och med den kan Europas dataskydd och principerna bakom den spridas till resten av världen.

Den nya EU-förordningen innehåller elva kapitel och 99 artiklar som ska tolkas, och därefter ska de nödvändiga ändringarna göras så att man uppfyller kraven. Det är därför en skrämmande uppgift för de flesta företag, och kanske är det bäst att be någon förklara GDPR. Även om förordningen innehåller aspekter som är vaga och kan tolkas på olika sätt, så innehåller den en del centrala artiklar och punkter som kan få stora konsekvenser för både stora och små företag.

Vad är personuppgifter? Begreppet har utökats

En av de stora förändringar som GDPR-förordningen medför är att utöka vilka typer av uppgifter som omfattas av begreppet ”personuppgifter”.

I EU:s dataskyddsförordning fastlägger man att personuppgifter är alla uppgifter som berör en direkt eller indirekt identifierad eller identifierbar person som kallas ”den registrerade”.

I den nya EU-förordningen är det alla uppgifter som rör en direkt eller indirekt identifierad/identifierbar person som betraktas som ”personuppgifter”. Uppgifter om personnummer, användning av webbplatser eller platsinformation, liksom alla fysiska, fysiologiska, genetiska, ekonomiska, psykiska och kulturella uppgifter kommer att betraktas som personuppgifter.

Den registrerade har rätt att godkänna de uppgifter som behandlas.

 

Behandlingen av personuppgifter – personuppgiftsansvarig och personuppgiftsbiträde

Genom GDPR-förordningen kommer de som behandlar personuppgifter att regleras för första gången. I GDPR definieras de som:

”En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.”

Och behandlingen av personuppgifter definieras som:

”Behandling av personuppgifter i samband med aktiviteter i ett företag av en personuppgiftsansvarig eller ett personuppgiftsbiträde i EU, oavsett om databehandlingen äger rum i EU.
Behandling av registrerade som befinner sig i EU av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerat i EU, men där behandlingen rör leverans av varor eller tjänster (antingen gratis eller betalda) eller övervakning av beteende som äger rum inom EU.”

Personuppgiftsbiträdena måste gentemot de personuppgiftsansvariga garantera att de kommer att vidta alla nödvändiga åtgärder för att följa GDPR, eftersom de personuppgiftsansvariga inte får använda personuppgiftsbiträden som inte lämnar en sådan garanti.

Om personuppgiftsbiträdet har underleverantörer, är personuppgiftsbiträdet skyldigt att informera den personuppgiftsansvariga om användningen av dessa och göra detta i så god tid så att den personuppgiftsansvariga kan göra invändningar.

Förhållandet mellan personuppgiftsbiträden och personuppgiftsansvariga ska fastställas med ett avtal. De skyldigheter som fastställs i avtalet ska reglera syftet med databehandlingen samt längden av den och beskrivningen av den.

Personuppgiftsbiträden ska också föra register över alla databehandlingsaktiviteter, och det ska innehålla information om förflyttning av personuppgifter (överföringar och export), kontaktuppgifter på dataskyddsombudet (DPO) och beskrivningar av eventuella genomförda säkerhetsåtgärder.

Det är inte obligatoriskt att utse ett dataskyddsombud för alla organisationer, men det är obligatoriskt för organisationer som:

  • är offentliga organ och myndigheter
  • kräver omfattande regelbunden övervakning av registrerade
  • behandlar specifika personuppgifter (känslig information) eller uppgifter om personers lagöverträdelser.

Registrerade har rätt att neka behandlingen avsina personuppgifter

 

Samtycke

Samtycket definieras i artikel 4 i GDPR och förtydligar tidigare fastlagda definitioner:

”Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.

De viktigaste aspekterna av samtycket såsom det definieras i GDPR-texten kan sammanfattas i några få ord som hävdar att samtycket ska vara:

  • informerat
  • otvetydigt
  • frivilligt
  • specifikt

 

Den registrerades rättigheter

GDPR ger de registrerade åtta centrala rättigheter:

 

Rätten att bli informerad

  • De registrerade har rätt att bli informerade om överföring av sina personuppgifter.

Rätten till tillgång

  • De registrerade har rätt att få bekräftelse på de personuppgifter som behandlas.
  • De registrerade har rätt att få tillgång till sina personuppgifter och andra kompletterande uppgifter.

Rätten till rättelse

  • De registrerade har rätt att få sina personuppgifter rättade om de är felaktiga eller ofullständiga.

Rätten att bli bortglömd

  • De registrerade har rätt att få sina personuppgifter raderade (om inte särskilda omständigheter föreligger).

Rätten till begränsning av behandling

  • De registrerade har rätt att kräva att behandlingen av personuppgifterna begränsas (under vissa omständigheter).

Rätten till dataportabilitet

  • De registrerade har rätt att få ut sina personuppgifter för eget bruk.
  • De registrerade har rätt att flytta eller överföra sina personuppgifter från en plats till en annan.

Rätten att göra invändningar

  • De registrerade har rätt att göra invändningar mot:
    • Direkt marknadsföring (här ingår profilering)
    • Behandling av personuppgifter för statistiska, historiska eller vetenskapliga ändamål.
    • Behandling av personuppgifter på grund av juridiska intressen eller för att utföra en uppgift av allmänt intresse.

Rättigheter i samband med automatiserat beslutsfattande och profilering

  • De registrerade har rätt att inte acceptera ett beslut om:
    • Beslutet grundas på automatiserad behandling.
    • Beslutet medför ett lagstadgat ingrepp eller har en signifikant betydelse för den registrerade.

 

Om du vill ha mer information om GDPR hittar du det på her.

Scroll to top