Dataskyddsförordningen (GDPR)​​

Dataskyddsförordningen gäller alla organisationer som behandlar personuppgifter, såväl offentliga som privata oavsett storlek eller verksamhetsändamål. Detta gäller även direkt som indirekt personuppgiftsbehandling, exempelvis kan detta yttra sig då ena parten äger själva kundrelationen (den personuppgiftsansvarige) och har en underleverantör som behandlar deras personuppgifter (den som är personuppgiftsbiträde).

GDPR (General Data Protection Regulation), även kallat dataskyddsförordningen, är det regelverk som ersatte den svenska personuppgiftslagen (PuL) den 25 maj 2018. Dataskyddsförordningen har som primärt syfte att skydda fysiska personers integritet genom att sätta ut tydligare regler för hur personuppgifter får och ska behandlas. Exempel på skillnader mellan GDPR och PuL är att reglerna har blivit tydligare avseende den enskildes rättigheter att ta del av behandlingen av personuppgifter, och att sanktionsavgifterna för behandling som strider mot regelverket har höjts. GDPR gäller i hela EU, vilket därmed kommer att bidra till att reglerna för behandlingen av personuppgifter kommer att harmonisera i hela EU-området.

DPO står för Data Protection Officer, eller dataskyddsombud på svenska.

Dataskyddsombudet övervakar behandlingen av personuppgifter i organisationen genom att se till att behandlingen ligger i linje med dataskyddsförordningen, se art 37-39 GDPR.

GDPR innehåller regler för hur personuppgifter får och ska behandlas. Personuppgiftslämnarens rättigheter har blivit tydligare och hårdare krav ställs på organisationen som hanterar och bär ansvaret för behandlingen av personuppgifter. I förordningen stadgas de krav som ställs på den som ansvarar för personuppgifter (den personuppgiftsansvarige) samt vilka krav som ställs på den som hanterar personuppgifter för någon annans räkning (den som är personuppgiftsbiträde).

Det finns sex lagliga grunder.

De lagliga grunderna som organisationen kan stödja sig på för behandling av personuppgifter är följande:
– Om personuppgiftslämnaren har samtyckt till behandlingen.
– Om man har tecknat avtal eller är på väg att teckna ett avtal med personuppgiftslämnaren.
–  I myndighetsutövning.
– Om behandlingen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerades liv.
– Om man har en laglig skyldighet att lagra informationen, exempelvis bokföring.
– När ett berättigat intresse föreligger.

Personuppgifter är alla slags uppgifter som kan härledas till en levande fysisk person. Exempel på personuppgifter skulle kunna vara exempelvis foton, namn, personnummer och medlemsnummer. Även olika slags elektroniska enheter, så som IP-adress, räknas som personuppgift om den går att koppla till en person.

Uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

De organisationerna som kan stödja sig på en laglig grund för behandlingen av personuppgifter får behandla personuppgifter, så länge behandlingen ligger i linje med GDPR.

En personuppgiftsincident är en säkerhetsincident som innebär en risk för människors friheter och rättigheter.

Riskerna kan innebära att organisationen förlorar kontrollen över de personuppgifter de behandlar eller att personuppgiftslämnarens rättigheter inskränks på något annat sätt.

Berättigat intresse är ett skäl att behandla personuppgifter för ett specifikt syfte utan att ha samtycke för det. Ett berättigat intresse krävs då att behandlingen är nödvändig för organisationen och att den registrerades intresse av skydd för uppgifterna inte väger lika tungt som behandlingen. Berättigat intresse är inte en lämplig rättslig grund för myndigheter.

Rapportering av en personuppgiftsincident måste ske till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Det är dessutom personuppgiftsansvarig som ska göra detta. Personuppgiftsbiträde eller underleverantör måste lämna uppgifter om personuppgiftsincidenten i god tid till ansvarig, som i sin tur anmäler till Integritetsskyddsmyndigheten.

När syftet med behandlingen är avslutad, alternativt när personuppgiftslämnaren ber om detta (notera att det finns undantag för det senare, exempelvis om en skyldighet att lagra står över den enskildas rättigheter.