General Data Protection Regulation
Information om grunderna i GDPR
En personuppgift är enligt GDPR en uppgift som antingen direkt eller indirekt går att koppla till en fysisk person som är identifierbar och vid liv. Om ett företag behandlar personuppgifter tillhörande individer inom EU/EES-området, är de skyldiga att följa GDPR. GDPR är en förkortning av EU:s allmänna dataskyddsförordning.
Exempel på vanliga typer av personuppgifter:
- Identifierande uppgifter: Förnamn, efternamn, personnummer, passnummer, profilbild.
- Kontaktuppgifter: E-postadress, hemadress, telefonnummer.
Känsliga personuppgifter enligt GDPR
Enligt huvudregeln i artikel 9(1) i GDPR är det inte tillåtet att behandla särskilda kategorier av personuppgifter, även kallade för “känsliga personuppgifter”. Däremot kan det vara tillåtet i vissa fall.
Observera att kraven är högre vid behandling av känsliga personuppgifter och kräver till exempel högre säkerhet vid överföring och lagring. Om det sker en personuppgiftsincident som omfattar känsliga personuppgifter, är det värre än om personuppgifterna är ”vanliga personuppgifter”. Det är viktigt att ha detta i beaktande vid riskbedömningen, samt vid bedömningen av huruvida det är nödvändigt att anmäla personuppgiftsincidenten till den nationella eller ansvariga dataskyddsmyndigheten.
Exempel på känsliga personuppgifter
- Hälsa
- Etniskt ursprung
- Politiska åsikter
- Genetiska eller biometriska uppgifter
Sanktionsavgift på grund av behandling av känsliga personuppgifter i strid med GDPR
Ett företag fick betala en sanktionsavgift på 230 000 euro för att ha behandlat känsliga personuppgifter i strid med GDPR. Företaget hade sparat information om sin personals hälsouppgifter under en mycket lång tid efter anställningens upphörande. Dessutom hade företaget sparat uppgifter om personalens sjukfrånvaro tillsammans med diagnosuppgifter, som vissa anställda till och med informerade var felaktiga. Företaget hade också brustit i sina skyldigheter att informera de anställda om behandlingen av dessa känsliga personuppgifter. Av dessa anledningar blev företaget tillsagda att ändra sitt agerande. Utöver sanktionsavgiften, fick företaget också en reprimand.
Integritetskänsliga personuppgifter
Utöver de känsliga personuppgifterna som kräver ett högre skydd enligt GDPR, finns det också andra personuppgifter som är viktiga och behöver det. De brukar kallas för “integritetskänsliga personuppgifter”. Till exempel bankkontouppgifter, betalkortsuppgifter, uppgifter om en persons sociala förhållanden och uppgifter om lagöverträdelser.
Fördjupa din förståelse av personuppgifter
Definitionen av personuppgifter omfattar även ytterligare komplexitet, utöver det som beskrivits ovan i denna sammanställning. Särskilt när det gäller så kallade direkta och indirekta personuppgifter. Bakvägsidentifiering är också en viktig aspekt som kan leda till att vissa uppgifter betraktas som personuppgifter enligt GDPR. Exempelvis registreringsnumret av ett privatägt fordon.
Principer om dataskydd att följa vid behandling av personuppgifter
Det finns sju (7) grundläggande dataskyddsprinciper som genomsyrar hela GDPR. Företag som omfattas av GDPR måste även följa dessa principer vid all sin behandling av personuppgifter. Företag behöver förstå principerna, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden, eftersom det utgör kärnan av förordningen. Dessutom bör företaget alltid ha dem i beaktande, i sitt arbete med förbättringen av sitt dataskydd. Här kan du läsa en kort sammanfattning av de sju (7) grundläggande dataskyddsprinciperna som är reglerade i artikel 5 i GDPR.
Dataskyddsprincip 1: Laglighet, korrekthet och öppenhet
Företag måste ha en rättslig grund för att få behandla personuppgifter. Till exempel “performace of a contract with the data subject”.
När företaget behandlar personuppgifter måste det vara rimligt i förhållande till syftet. Behandlingen ska vara rimlig, skälig, rättvis och proportionerlig. Kort sagt innebär detta att behandlingen inte får vara oproportionerlig i förhållande till nyttan med den.
Företag måste informera om behandlingen och vara öppna med vad de ska göra med personuppgifterna. Dessutom ska de informera om de registrerades rättigheter m.m.
Europeiska Dataskyddsstyrelsens första beslut om laglighet vid behandlingen av personuppgifter
Den Europeiska dataskyddsstyrelsen (EDPB) fick ta ställning till huruvida ett stort internationellt företag hade laglig grund för det sättet som de behandlade barns personuppgifter på. Det var den Irländska dataskyddsmyndigheten som begärt ett förhandsavgörande från EDPB, då flera av dataskyddsmyndigheterna som deltog i tillsynen inte var överens om beslutet från den Irländska dataskyddsmyndigheten. Sanktionsavgiften som den Irländska dataskyddsmyndigheten utfärdade efter förhandsavgörandet landade på 405 miljoner euro.
Dataskyddsprincip 2: Ändamålsbegränsning
Företag måste alltid ha ett syfte med sin behandling av personuppgifter. Det vill säga, ett svar på varför personuppgifterna blir behandlade. Dessutom måste det vara ett uttryckligt och specifikt syfte som är förenligt med gällande lagstiftning. Otydliga ändamål är oftast inte giltiga. Detsamma gäller om de är för breda, såsom att ”förbättra upplevelsen för användarna”. Observera att företaget ska dokumentera syftet för varje enskild behandling.
Dataskyddsprincip 3: Uppgiftsminimering
Det är inte tillåtet att behandla fler personuppgifter än nödvändigt för att uppnå syftet. Därför behöver företaget först analysera vad syftet med behandlingen är för att kunna veta vilka personuppgifter som är nödvändiga att behandla för att uppnå det. Ett företag får inte behandla personuppgifter för framtida behov som de inte har bestämt än. Med andra ord är det inte tillåtet enligt GDPR att behandla personuppgifter “bara för att det kan vara bra inför framtiden”.
Dataskyddsprincip 4: Riktighet
Företag ska se till att de personuppgifter som de behandlar är korrekta. Dessutom ska företaget hålla personuppgifterna uppdaterade över tid. Om en personuppgift är felaktig, ska företaget rätta den. Alternativt radera den. Detta ska ske utan onödigt dröjsmål. Personuppgifter som inte är kompletta ska också korrigeras genom att kompletteras eller tas bort. Observera att detta särskilt är viktigt, ju viktigare personuppgifterna är. Konsekvenserna vid en behandling av felaktiga personuppgifter kan i vissa fall vara förödande. Till exempel om en person får en typ diagnos, men läkaren råkar registrera felaktig diagnos i patientregistret.
Dataskyddsprincip 5: Lagringsminimering
Det är inte tillåtet att behandla personuppgifter längre än nödvändigt för syftet de blev inhämtade för. Dessutom ska företag bestämma en lagringsperiod för personuppgifterna. Däremot kan ett företag i vissa fall behöva fortsätta en behandling, även fast det inte längre är nödvändigt för syftet, om det krävs enligt lag eller förordning. Till exempel behöver företag ofta lagra sitt bokföringsunderlag i ett visst antal år enligt den nationella bokföringslagen.
Företag som behandlade personuppgifter under obestämd tid
Ett företag fick betala en sanktionsavgift för att de inte hade fastställt en lagringstid. För att få sina personuppgifter raderade, behövde kunderna radera sitt användarkonto. Om kunden inte gjorde detta, fortsatte företaget att behandla kundernas personuppgifter under obestämd tid. Dessutom konstaterade den finländska dataskyddsmyndigheten i målet att det inte var förenligt med GDPR att tvinga personer att skapa ett konto på webbplatsen för att kunna göra ett köp. Det ska vara frivilligt att skapa ett användarkonto på en webbshop. Det får inte vara ett obligatoriskt krav för att kunna genomföra enstaka köp.
Data protection principle 6: Integrity and confidentiality
Företag måste skydda personuppgifter som de behandlar genom att vidta lämpliga tekniska och organisatoriska åtgärder. Ju viktigare personuppgifterna är, desto högre är säkerhetskraven. Exempel på tekniska säkerhetsåtgärder är kryptering och säkerhetskopiering. Exempel på organisatoriska säkerhetsåtgärder som företag kan vidta är utbildning för medarbetare och upprättande av instruktioner.
Dataskyddsprincip 7: Ansvarsskyldighet
Företag måste kunna visa att de följer GDPR. Det är alltså inte en registrerad eller dataskyddsmyndighet som behöver bevisa motsatsen. Till exempel kan företag göra detta genom att:
Registerförteckning
Upprätta en registerförteckning där företaget dokumenterar inträffade personuppgiftsincidenter.
Konsekvensbedömningar
Upprätta en konsekvensbedömning innan en viss behandling blir utförd, där företaget bland annat motiverar och analyserar behandlingen.
Riktlinjer
Upprätta skriftliga instruktioner till medarbetare för hur de ska arbeta i enlighet med GDPR i praktiken. Till exempel en rutin om hur de ska agera vid en eventuell personuppgiftsincident.
Rättsliga grunder för laglig behandling av personuppgifter
Företag måste ha en rättslig grund för att få behandla personuppgifter och det finns totalt sex (6) rättsliga grunder i GDPR. Om inte företaget har en rättslig grund, är behandlingen olaglig. Brott mot GDPR kan leda till stora ekonomiska konsekvenser för företaget. Nedan kan du läsa en sammanfattning av de rättsliga grunderna som regleras i artikel 6 i GDPR.
Rättslig grund 1: Samtycke
Ett samtycke innebär att en person accepterar att företaget behandlar dennes personuppgifter för ett specifikt syfte. Samtycket måste vara aktivt och frivilligt lämnat, för att vara giltigt. Dessutom ska det vara lika enkelt att återkalla samtycket som att ge det. Om inte, är samtycket ogiltigt. Observera att företag också måste kunna visa att de har inhämtat ett giltigt samtycke vid en eventuell tillsyn. Därför är det bäst att ha skriftliga och uppdaterade aktuella samtycken.
Ett samtycke är en vanlig rättslig grund för företag att använda, men det är inte alltid tillåtet eller lämpligt. Till exempel är det inte lämpligt när det råder ett ojämlikt maktförhållande mellan parterna, såsom mellan en arbetsgivare och arbetstagare. Då brukar man istället använda avtal med registrerad (anställningsavtal) som rättslig grund. Det är inte heller något krav att få ett samtycke för att få behandla personuppgifter, vilket vissa tror.
Onlineplattformar med Consent or-pay-modeller uppfyller inte alltid kraven för giltigt samtycke enligt den Europeiska dataskyddsstyrelsen
Den Europeiska Dataskyddsstyrelsen (EDPB) tog ett ställningstagande gällande huruvida så kallade ”consent or pay”-modeller uppfyller kraven för giltiga samtycken i enlighet med GDPR. Med andra ord att ett företag riktar marknadsföring som är beteendebaserad till registrerade som inte betalar för en tjänst. Enligt EDPB bör företag ha ett kostnadsfritt alternativ, men utan riktad marknadsföring.
Rättslig grund 2: Avtal med registrerade
Företag får behandla personuppgifter som är nödvändiga för att ingå eller fullgöra ett avtal med den registrerade. Den rättsliga grunden är då “avtal med registrerade”. Däremot får företaget inte behandla fler personuppgifter än nödvändigt för att ingå eller fullgöra avtalet. Om företaget till exempel vill behandla personuppgifter för att analysera kundbeteendet, behöver företaget en annan rättslig grund för det syftet, exempelvis samtycke.
Ett praktiskt exempel på när det är lämpligt med den rättsliga grunden “avtal med registrerade”, är om ett företag bedriver en e-handel. För att företaget ska kunna skicka hem produkterna till kunderna, behöver de behandla personuppgifter såsom Kundens namn och hemadress.
Rättslig grund 3: Rättslig förpliktelse
När ett företag har en skyldighet att behandla personuppgifter enligt någon annan lagstiftning eller förordning, är den rättsliga grunden för behandlingen “rättslig förpliktelse”. Till exempel ska företaget spara kvitton och andra bokföringsuppgifter i ett visst antal år enligt den nationella bokföringslagen. Den registrerade ska förstå varför företaget behöver utföra behandlingen och därför är det viktigt att vara tydlig vid informeringen.
Rättslig grund 4: Skydda grundläggande intresse
Behandling av personuppgifter med stöd i den rättsliga grunden “Skydda grundläggande intresse” är inte vanlig att använda för de flesta företag. Den får endbart användas när behandlingen är nödvändig för att rädda liv. Dessutom är det inte tillåtet att använda denna lagliga grund, om den registrerade ifråga är medveten och kan fatta ett eget beslut, till exempel lämna ett samtycke.
Inom akuten i hälso- och sjukvården är det däremot vanligare att stödja behandling av personuppgifter på denna rättsliga grund. Till exempel om en person blir avlämnad medvetslös på sjukhuset och förlorar stora mängder blod, och sjukhuset behöver veta vilken blodgrupp personen har för att rädda dennes liv.
Rättslig grund 5: Myndighetsutövning och uppgift av allmänt intresse
Den rätttsliga grunden “Myndighetsutövning och uppgifter av allmänt intresse” innebär att det är tillåtet att behandla personuppgifter som en del av myndighetsutövning, eller om det sker av allmänt intresse. Om staten ger en aktör ett uppdrag att bestämma över medborgare, är “myndighetsutövning” den lämpliga rättsliga grunden. Det är en rättslig grund som framförallt kan användas av myndigheter, men även av vissa privata aktörer, såsom skolor och hälso- och sjukvård.
Det måste finnas stöd i en lag, förvaltning eller liknande för att vara tillåtet att stödja en behandling på grund av uppgifter av allmänt intresse. Till exempel när en skola eller ett sjukhus behandlar personuppgifter.
Rättslig grund 6: Berättigat intresse
Företag kan göra en intresseavvägning innan en behandling och komma fram till att de har ett berättigat intresse för behandlingen. Med andra ord att deras intresse till behandligen väger tyngre än de registrerades. Dessutom måste behandlingen vara nödvändig i förhållande till syftet med den. En intresseavvägning ska vara skriftligen dokumenterad. Här är två exempel på när det är vanligt att använda “berättigat intresse” som rättslig grund:
Direktmarknadsföring:
När ett företag utför direktmarknadsföring, såsom skickar mejl till registrerade med reklam. Observera att företaget omedelbart måste upphöra med behandlingen av e-postadressen för detta ändamål om den registrerade begär det.
Säkerhet för anställda
Det kan vara nödvändigt för en arbetsgivare att behandla vissa typer av personuppgifter för att garantera säkerheten för medarbetarna, och anses ha ett berättigat intresse för detta.
Rättigheter som registrerade har enligt GDPR
Registrerade har flera rättigheter enligt GDPR. Företag ansvarar för att se till att kunna tillgodose dem. Till exempel genom att upprätta interna rutiner för medarbetare, så att de vet hur de ska hantera en begäran korrekt.
Identifiering av registrerade vid begäran om att få en rättighet tillgodosedd
Företag behöver kunna identifiera individer som begär att få en rättighet tillgodosedd enligt GDPR. På så sätt kan företaget minimera risken för att någon obehörig får tillgång till personuppgifterna. Om företaget tvivlar på identiteten hon den som inkommer med begäran, kan företaget efterfråga mer information. Till exempel om en person begär att få sina personuppgifter raderade från en annan e-postadress än den som de har registrerat i sitt användarkonto hos företaget. Observera att det inte är tillåtet att behandla fler personuppgifter än nödvändigt och att identifieringen måste vara proportionerlig.
Tidsfrister för att hantera begäran på att få en rättighet tillgodosedd
När en registrerad begär att få en rättighet tillgodosedd enligt GDPR, ska företaget hantera begäran så fort som möjligt, men senast en månad efter mottagandet. Däremot är det möjligt att i vissa fall förlänga tidsfristen ytterligare två månader. Vid sådana fall måste företaget kunna motivera beslutet och informera om det inom den första månaden. Till exempel kan en förlängning vara motiverad ifall företaget har mottagit ovanligt många förfrågningar och därav inte hinner hantera ärendet inom en månad.
Sammanfattning av de åtta (8) fundamentala rättigheterna som registrerade har enligt GDPR
Företag ska informera registrerade om behandlingen av deras personuppgifter. Det ska helst ske i samband med att företaget samlar in personuppgifterna. Dessutom ska informationen ges när registrerad begär det. Informationen ska vara lättförståelig och gratis. Vidare finns det övriga tillfällen där företag behöver informera registrerade om behandlingen, exempelvis vid vissa typer av personuppgiftsincidenter eller om behandlingen förändras.
Om en registrerad vill veta ifall ett företag behandlar personuppgifter om dem, kan de kontakta företaget. Vid sådana fall ska företaget ge information gällande behandlingen såsom vilka personuppgifter de behandlar, syftet, lagringstiden och vart de har samlat in dem ifrån. Dessutom ska företaget tillhandahålla en kopia på de behandlade personuppgifterna. Observera att det finns undantag från rätten till tillgång. I vissa fall kan företag neka en begäran om tillgång till de behandlade personuppgifterna. Till exempel om det kan medföra en nackdel för andra registrerade.
Om en registrerad anser att personuppgifter om dem som ett företag behandlar är inkorrekta eller inkompletta, kan de be företaget rätta dem. Rättelsen ska ske utan onödigt dröjsmål. Företaget ska även informera berörda mottagare av personuppgifterna om rättelsen. Detta gäller ifall det är möjligt och inte för betungande för företaget. Dessutom har den registrerade rätt till information om vilka mottagarna är.
Företag ska radera personuppgifter när de inte längre är nödvändiga för ändamålet de blev insamlade för. Dessutom behöver de radera personuppgifter på en begäran från en registrerad. Däremot finns det undantag. Till exempel kan ett företag ha en skyldighet att behandla vissa personuppgifter i enlighet med någon annan lagstiftning. Vid sådana fall ska de inte radera personuppgifterna, även fast den registrerade begär det. Om företaget raderar personuppgifter efter en begäran av den registrerade, ska företaget informera berörda mottagare av personuppgifterna om raderingen. Detta gäller ifall det är möjligt och inte för betungande för företaget. Dessutom har den registrerade rätt till information om vilka mottagarna är.
I vissa fall har en registrerad rätt att få behandling av dennes personuppgifter begränsad. Till exempel om en person informerar ett företag om att personuppgifterna är inkorrekta och vill få behandlingen begränsad fram till att företaget har utrett huruvida de är stämmer eller inte. När begränsningen upphör ska företaget informera den registrerade om det.
Om ett företag behandlar personuppgifter baserat på den rättsliga grunden berättigat intresse, har registrerade rätt att invända mot behandlingen. Detsamma gäller om syftet är utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning. Företaget kan få fortsätta behandlingen om den rättsliga grunden är berättigat intresse endast ifall de kommer fram till att deras intresse fortfarande väger tyngre efter att de har gjort en ny intresseavvägning. Observera att de måste kunna motivera beslutet.
I vissa fall kan en registrerad ha rätt att få sina personuppgifter överförda till en annan personuppgiftsansvarig. Till exempel om personen skapar ett konto på en sociala medier tjänst och vill använda samma uppgifter för att skapa ett konto på en annan liknande tjänst. Företag ska underlätta överföringen av personuppgifter. Däremot kan registrerade bara ha rätt till dataportabilitet om den rättsliga grunden för behandlingen är samtycke eller avtal med den registrerade, samt om det är tekniskt möjligt.
Om ett automatiserat beslut kan ha allvarliga konsekvenser för en registrerad, såsom rättsliga följder, har personen rätt att inte bli föremål för ett sådant automatiserat beslut. Till exempel om en person söker jobb och blir nekad utan att ha haft personlig kontakt, eftersom det skett genom en automatiskt e-rekrytering.
- Situationer där det kan vara tillåtet med automatiserade beslut
- Uttryckligt samtycke: Om företaget får ett uttryckligt samtycke från den registrerade.
- Fullgöra avtal: Om företaget behöver göra det för att ingå, alternativt fullgöra ett avtal.
Ett företag gav felaktig information om att personuppgifter hade raderats vid begäran från en registrerad
Utöver att företaget inte hade raderat personuppgifter på en begäran utan onödigt dröjsmål, gav de också fel information om att de faktiskt hade raderat dem. Företaget menade att de inte förstod att det var en begäran om att de skulle radera personuppgifterna, men den svenska dataskyddsmyndigheten tyckte annorlunda. De ansåg att det var tydligt och konstaterade att företaget därför inte hade utfört sina skyldigheter i enlighet med GDPR. Konsekvensen för företaget blev en reprimand.
Efterlevde bland annat inte kravet på öppenhet gällande dataportabilitet
Den svenska dataskyddsmyndigheten konstaterade att ett företag hade brutit mot ett flertal regler i GDPR. Bland annat genom att ha lämnat bristfällig information gällande de rättigheter de registrerade har. En av de rättigheterna var rätt till dataportabilitet. Företag fick en sanktionsavgift på 7,5 miljoner kronor för sina överträdelser av GDPR.
Företag som inte tillgodosedde de registrerades rättigheter
Ett företag fick betala en sanktionsavgift på omkring 900 000 euro för bland annat ha brustit i sina skyldigheter i att tillgodose de registrerades rättigheter. De hade inte heller tillämpat samma rättsliga grund i praktiken som de hade informerat de registrerade om.
Överträdelser / Sanktionsavgifter / Konsekvenser
Om ett företag inte följer GDPR, kan de få stora ekonomiska konsekvenser. I värsta fall kan de få betala sanktionsavgifter i mångmiljonbelopp. Det maximala sanktionsbeloppet vid allvarliga överträdelser kan bli 20 miljoner euro eller 4 % av årsomsättningen (det högsta av alternativen). Vissa företag har fått betala sanktionsavgifter på flera hundra miljoner euro.
Observera att registrerade inte får ta del av sanktionsavgiften, eftersom det är en böter som betalas in till staten. Däremot kan registrerade kräva skadestånd i vissa fal,l men då måste de väcka talan separat i en egen rättsprocess. Med andra ord är detta ingenting som dataskyddsmyndigheten som utför tillsynen yrkar i en domstol.
EU-domstolen gav ett ställningstagande gällande skadeståndsansvar vid personuppgiftsincidenter som skulle leda till framtida missbruk av personuppgifterna. De konstaterade att registrerade kan ha rätt till skadestånd vid en befogad fruktan om framtida missbruk av personuppgifter.
Mer om GDPR
Measures that companies may need to take under the GDPR
GDPR requires companies to, among other things, be able to show that they comply with GDPR, meet the rights of data subjects, protect the personal data they process, etc. The more important the personal data is, the higher the security requirements. Examples of measures include writing necessary GDPR-related agreements and documents. For example, a privacy notice and documenting impact assessments carried out. Please note that the financial consequences for companies that violate GDPR can be devastating for the company.