Denna webbplats använder cookies. Genom att klicka “Acceptera alla” godkänner du lagring av cookies på din enhet för att förbättra webbplatsnavigering, analysera webbplatsanvändning och hjälpa till med vårt marknadsföringsarbete. Se vår cookiepolicy för mer information.

Dataskydd och integritet gäller alla verksamheter som behandlar personuppgifter

Boka ett möte
Videorådgivning - 695 kr
Avtalsgranskning inkluderat
Dokument - från 750 kr
Hämta i appstore Hämta i google play

Dataskydd och integritet

EU:s ambition med Dataskyddsförordningen är att, inom EU ska samma fri- och rättigheter gälla för privatpersoners personuppgifter. Förordningen, vilket kan jämställas med en lag för EU-länder, kompletteras med nationell lagstiftning, i Sverige har detta gjorts med bland annat Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

Vad är GDPR?

På engelska heter Dataskyddsförordningen, General Data Protection Regulation, (GDPR), och reglerar bland annat vad en personuppgift är och var gränsen går för vad som är en känslig personuppgift. Lagstiftningen beskriver också vilka rättigheter en privatperson har avseende de uppgifter som rör deras person samt i vilka sammanhang och på vilket sätt det är tillåtet för någon annan att hantera deras uppgifter.

Innan GDPR fanns det ett annat skydd för personuppgifter inom EU vilket utmynnande i den svenska personuppgiftslagen, PUL. Med PUL kom många av de fri- och rättigheter som vi känner igen i GDPR men det som saknades var en tillräckligt avskräckande effekt och en effektiv kontrollorganisation.

För att skapa större likhet mellan hur EU:s länder hanterar tillsynen av personuppgiftshantering så ska det i varje land finnas en tillståndsmyndighet. I Sverige heter myndigheten Integritetsskyddsmyndigheten, IMY, det kan dock vara bra att veta att den fram till 2021 hette Datainspektionen. Myndigheten har ett antal viktiga uppgifter såsom att vara dit privatpersoner kan vända sig för att få hjälp om de blivit felaktigt behandlade, vara de som överser att företag sköter sig genom att kontrollera dem och att ge vägledning i frågor så vet hur lagen ska tolkas.

Vad händer om mitt företag inte följer GDPR-lagarna?

De verksamheter som bryter mot lagstiftningen kan med hjälp av den nya lagstiftningen bli skyldiga att betala en sanktionsavgift. Sanktionsavgiften kan i dagsläget uppgå till 2 eller 4 procent av verksamhetens globala årsomsättning. Avgiften som bestäms av IMY beror på vilken typ av överträdelse som gjorts, hur stor skada som orsakats, vad den skyldige har gjort för att undvika skadan och om det är första gången som IMY påtalat felet.

En annan stor förändring med GDPR är att privatpersoners möjlighet att på egen hand söka upprättelse har stärkts betydligt. Kombinationen av rättigheter för privatpersoner har blivit tydligare och att dessa på egen hand ska kunna söka upprättelse är tänkt att förändra maktbalansen mellan stora företag och enskilda individer.

Varför är personuppgifter värda att skydda?

Kravet på hur personuppgifter ska hanteras har skärpts betydligt, detta gäller alla uppgifter som en organisation hanterar där en privatperson är identifierbar. Skärpningen gäller inte bara att personuppgifter ska skyddas utan att all hantering av uppgifterna ska ske på ett lagligt sätt.

Med GDPR följer en ny syn på personuppgifter där privatpersonen anses i huvudregel äga sina egna uppgifter och sedan lånar ut dessa för olika ändamål. Detta gör att allt hanterande en organisation gör med någons personuppgifter såsom insamlande, sparande, ändrande, spridning och radering omfattas av GDPR.

Som med all lagstiftning finns det undantag och i Sverige är dessa främst relaterade till den offentliga informationen som är tillgänglig från olika myndigheter. De personuppgifter som hanteras av det offentliga såsom Skatteverket, kommuner och skolor är i vissa fall av ett stort allmänt intresse. För denna typ av information så tillåts offentliga organ hantera och framför allt sprida information på ett sätt som inte hade varit tillåtet om det var i vinstintresse. För att inte undantaget ska bli allt för långtgående så finns det i offentlighets- och sekretesslagen bestämmelser för vad myndigheter får lämna ut.

Om en organisation ska ha rätten att befatta sig med personuppgifter så ska det finnas en laglig grund. Eftersom personuppgifter behandlas på så många olika sätt finns det därför flera olika lagliga grunder som kan bli aktuella beroende på situation. Den som de flesta känner till är att en privatperson kan ge sitt samtycke till en behandling, en annan grund är då en organisation behöver informationen för att uppfylla ett kontrakt såsom anställningsavtal eller ett transportavtal. Beroende på vilken laglig grund som används får personuppgifterna sparas olika länge, om den lagliga grunden endast är samtycke så ska de dock bara sparas så länge samtycket finns kvar.

I och med införandet av GDPR har kraven på organisationer som hanterar personuppgifter ökat genom att organisationer som brister kan få sanktionsavgifter även utan att någon lidit skada. Detta ges uttryck i form av krav på personuppgiftspolicys, nya IT-lösningar och system och organisationsförändringar.

I vissa fall, exempelvis om stora mängder personuppgifter eller känsliga personuppgifter hanteras eller för myndigheter, behövs det även utse ett dataskyddsombud som ansvarar för att kontrollera att organisationen följer de regler de regler som finns i GDPR och rapportera till IMY om detta brister. Läs mer om GDPR för verksamheter på IMY.se

Meet a lawyer, wherever you are
Hämta i appstore Hämta i google play