Vad behöver jag veta om GDPR-lagstiftningen?

Integritetslagstiftning

Integritetslagstiftning är inte något nytt. I Europeiska unionen (EU) har varje medlemsstat fortfarande sin egen integritetslag. Dessa nationella lagar baseras alla på EU:s integritetsdirektiv från 1995. I Nederländerna är den nationella genomföringen av detta direktiv Wet bescherming persoonsgegevens (Wbp).

Den 25 maj 2018 började den allmänna dataskyddsförordningen (GDPR) att gälla. Det innebär att det från och med det datumet endast finns en integritetslag i hela EU. Wbp gäller inte längre, men grundprinciperna i den lagstiftningen utgör fortfarande kärnan i den nya GDPR. Datainspektionen (Integritetsskyddsmyndigheten) utövar tillsyn över efterlevnaden av de lagstadgade reglerna för skydd av personuppgifter.

Vad är det övergripande syftet med GDPR?

Det övergripande syftet med den allmänna dataskyddsförordningen är att skydda EU-medborgarna när det gäller integritetsreglering och personuppgifter. GDPR ger rättigheter avseende personuppgifter som delas med organisationer som samlar in, lagrar och behandlar sådana personuppgifter.

Vem omfattas av GDPR?

GDPR gäller för alla organisationer som samlar in personuppgifter om EU-medborgare. En organisation behöver inte vara etablerad i EU för att omfattas av villkoren i GDPR. Om en organisation befinner sig utanför EU och samlar in personuppgifter från EU, gäller GDPR för den organisationen.

Vad kommer att förändras?

Den nya GDPR-lagen skärper reglerna i den nuvarande lagen om skydd av personuppgifter (Wbp). I slutändan förblir mycket detsamma. Dataminimering, rätten att bli bortglömd, informationsskyldigheter och personuppgiftsbiträdesavtal har alltid funnits i lagen, om än ibland under andra namn.
Även en god integritetspolicy, ett begripligt integritetspolicymeddelande, tydliga överenskommelser mellan personuppgiftsbiträden och personuppgiftsansvariga samt rutiner för dataintrång förblir viktiga.

Många befintliga regler har skärpts avsevärt i den nya GDPR, och ett antal nya skyldigheter har lagts till. Det läggs större tonvikt på organisationers eget ansvar att följa lagen och att kunna visa att de efterlever den.

Vad kan jag göra själv?

Som organisation kan du redan nu vidta åtgärder för att vara redo för GDPR. För att hjälpa dig med detta har Datainspektionen (Integritetsskyddsmyndigheten) sammanställt de 10 viktigaste stegen.

Vad är personuppgifter?

GDPR anger att en personuppgift är varje uppgift om en identifierad eller identifierbar fysisk person. Det finns många typer av personuppgifter. Uppenbara uppgifter är en persons namn, adress och bostadsort. Men även telefonnummer och postnummer med gatunummer är personuppgifter. Känsliga uppgifter som en persons ras, religion eller hälsa kallas även särskilda kategorier av personuppgifter. Dessa är extra skyddade i lag.

Vad innebär behandling av personuppgifter?

Med behandling avses alla åtgärder som en organisation kan vidta med personuppgifter, från insamling till och med förstöring. Lagen nämner som exempel på behandling: insamling, registrering, organisering, lagring, uppdatering, ändring, hämtning, konsultation, användning, utlämning genom vidarebefordran, spridning, tillgängliggörande, sammanförande, sammankoppling, begränsning, radering och förstöring av uppgifter.
Lagen föreskriver att en organisation endast får behandla personuppgifter om det är nödvändigt för ett specifikt ändamål.

Behandlingsprinciper

GDPR introducerar grundläggande principer som all behandling av personuppgifter måste uppfylla:

• personuppgifter ska behandlas på ett korrekt, lagligt och transparent sätt;
• personuppgifter får endast behandlas för ett specifikt, uttryckligt angivet ändamål;
• endast personuppgifter som är nödvändiga för ändamålet får behandlas;
• uppgifterna måste vara korrekta och aktuella;
• om identifiering inte längre är nödvändig för ändamålet ska personuppgifterna raderas eller anonymiseras, och;
• personuppgifterna måste skyddas med hjälp av tekniska och organisatoriska åtgärder.

Terminologi personuppgiftsansvarig/personuppgiftsbiträde

GDPR använder begreppen 'personuppgiftsansvarig' och 'personuppgiftsbiträde' istället för begreppen 'ansvarig' och 'bearbetare' från Wbp. I den svenska översättningen av GDPR har följande definitioner givits:

Personuppgiftsansvarig
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Detta är Teqas kunder som använder i-Reserve som produkt.

Personuppgiftsbiträde
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Detta är vi som organisation i egenskap av leverantör av i-Reserve och vår serveradministratör avseende hosting av i-Reserve.

Den registrerade
Är den person vars personuppgifter en organisation behandlar. Det är alltså den person som personuppgifterna avser. Det är era kunder, slutanvändarna.

Behandling av känsliga personuppgifter
Utöver vanliga personuppgifter känner lagen även till känsliga personuppgifter. Det är uppgifter som är så känsliga att behandlingen av dem allvarligt kan kränka en persons integritet. Enligt GDPR är behandling av känsliga personuppgifter förbjuden, såvida inte ett undantag är tillämpligt.

Känsliga personuppgifter är personuppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för unik identifiering av en person, uppgifter om hälsa, sexuellt beteende eller sexuell läggning. Sådana uppgifter får därför endast behandlas under mycket strikta förutsättningar.

Vilka är de viktigaste förändringarna för organisationer?

När den allmänna dataskyddsförordningen är tillämplig har organisationer som behandlar personuppgifter fler skyldigheter.

Samtycke
Nytt är att organisationen måste kunna visa att den har fått giltigt samtycke från personer att behandla deras personuppgifter. Och att det ska vara lika enkelt att återkalla sitt samtycke som att ge det. Detta måste vara ett 'otvetydigt' viljeuttryck. Alltså inga förkryssade rutor längre! Begäran om samtycke måste vara tydlig och begriplig och presenteras på enkelt språk.
Som organisation måste du slutligen kunna bevisa att den registrerade har gett samtycke. Den registrerade har alltid rätt att återkalla samtycket och måste också uppmärksammas på detta.

OBS:
Att begära samtycke för registrering av personuppgifter är inte alltid nödvändigt. Till exempel så länge uppgifterna som registreras är begränsade till vad som är nödvändigt för genomförandet av det ingångna avtalet. I andra fall måste du begära samtycke. För att ta reda på vad som gäller för er hittar du mer information här.

Administrationsskyldighet
GDPR ålägger en dokumentationsskyldighet, vilket innebär att det måste kunna visas att organisationen handlar i enlighet med GDPR. Tänk på samtycke, lämnad information, de registrerades rättigheter, säkerhet för uppgifter, minimering av behandlingarna och överenskommelser med personuppgiftsbiträden. Alltså: kartlägg databehandlingarna i organisationen. Många organisationer kommer att behöva uppdatera sitt integritetspolicymeddelande, och detta är inte oviktigt. För att inte ha ett (fullständigt) integritetspolicymeddelande riskerar man nämligen framöver en kännbar böter.

När GDPR väl är tillämplig upphör Wbp:s skyldighet att anmäla databehandlingar till tillsynsmyndigheten. Istället måste organisationer själva föra ett register över behandlingsaktiviteter ('behandlingsregister') som utförs under deras ansvar.

Personuppgiftsbiträdesavtal
Att ingå ett personuppgiftsbiträdesavtal är i sig inget nytt, eftersom det redan är obligatoriskt inom Wbp. Detta kommer nu med GDPR att kallas personuppgiftsbiträdesavtal och gäller mellan den personuppgiftsansvarige och den part som behandlar personuppgifterna för dennes räkning (nu känd som bearbetare, framöver personuppgiftsbiträde). Nytt är dock att GDPR anger ett antal obligatoriska delar av detta avtal, däribland:

• ändamålet med behandlingen;
• typen av personuppgifter som behandlas;
• kategorierna av registrerade;
• att lämpliga säkerhetsåtgärder ska vidtas;
• att personuppgiftsbiträdet medverkar vid revisioner för att kontrollera att biträdet uppfyller alla skyldigheter, och;
• efter avslutad behandling förstöring eller återlämnande av personuppgifterna till den personuppgiftsansvarige.

Personuppgiftsbiträdet får framöver inte längre anlita en extern part för att behandla personuppgifter utan föregående skriftligt samtycke från den personuppgiftsansvarige.

Konsekvensbedömning avseende dataskydd (PIA)
På svenska 'konsekvensbedömning avseende dataskydd', är PIA ett oumbärligt verktyg för organisationer för att uppskatta eller utvärdera integritetskonsekvenser. Genom användning av PIA kan skyddet av personuppgifter på ett strukturerat sätt bli en del av intresseavvägningen och beslutsfattandet inom organisationer.

I PIA dokumenteras varför, på vilket sätt och hur länge personuppgifter behandlas. Att utföra en konsekvensbedömning avseende dataskydd är obligatoriskt när behandlingen av personuppgifter, i synnerhet med hjälp av ny teknik, medför risker för de registrerade.

Anmälningsplikt vid dataintrång
Detta känner vi redan till i den svenska lagen: anmälningsplikt vid dataintrång. Denna finns även i GDPR och förblir i stort sett oförändrad. GDPR ställer dock strängare krav på din egen registrering av de dataintrång som har inträffat i din organisation. Du måste dokumentera alla dataintrång.

Förebygg stress genom att i förväg tänka igenom hur du agerar om ett säkerhetsrisk uppstår. Som personuppgiftsansvarig måste du i vissa situationer anmäla ett dataintrång inom 72 timmar till Integritetsskyddsmyndigheten. Innebär intrånget sannolikt en hög risk för de personer vars uppgifter berörs? Då måste även de underrättas om intrånget. Fastställ därför i förväg ett arbetsflöde för säkerhetsincidenter, där rätt personer i tid kan fatta beslut om vilka åtgärder som ska vidtas.

Integritetsskyddsmyndigheten har publicerat riktlinjer för anmälningsplikten vid dataintrång.

Ni kan behöva ett dataskyddsombud
Ett dataskyddsombud (DPO), är en oberoende person inom organisationen som ger råd och rapporterar om efterlevnaden av GDPR. Dataskyddsombudet var inte obligatoriskt i Wbp, men är det under GDPR i vissa situationer. Enligt lagen är det obligatoriskt när ni i stor skala behandlar känsliga personuppgifter som hälsouppgifter, eller om ni systematiskt övervakar personer (fysiskt eller digitalt). Ett dataskyddsombud kan vara någon som utses internt, men får också vara någon som utses externt.

Den registrerades rättigheter
Personuppgifter ska behandlas på ett sätt som är lagligt, korrekt och transparent i förhållande till den registrerade. Transparens är avgörande: den registrerade måste informeras om vad som händer med dennes personuppgifter. Allt måste kommuniceras på enkelt och tydligt språk.
Utöver den välkända rätten till tillgång, rättelse och invändning har den registrerade under GDPR även:

• rätten att bli bortglömd,
• rätten till dataportabilitet (överförbarhet av data),
• rätten att begränsa behandlingen och
• rätten att invända mot vissa behandlingar. Den registrerade har alltid rätt att invända mot behandlingen av sina uppgifter för direktmarknadsföringsändamål. Om den registrerade lämnar en sådan invändning får dennes uppgifter inte längre behandlas för marknadsföringsändamål.

Rätt till tillgång
En registrerad har rätt att av den personuppgiftsansvarige få besked om huruvida dennes personuppgifter behandlas. När personuppgifterna behandlas har den registrerade rätt till information om dessa uppgifter. Den registrerade har bland annat rätt till information om:

• ändamålen med behandlingen;
• de berörda kategorierna av personuppgifter;
• mottagarna till vilka personuppgifterna lämnas ut;
• lagringsperioden;
• det faktum att den registrerade har rätt att inge en begäran om rättelse, en begäran om radering eller begränsning av uppgifterna samt rätten att invända;
• det faktum att den registrerade kan inge ett klagomål.

Rätt till rättelse och rätt att invända
En registrerad har rätt att av den personuppgiftsansvarige få felaktiga personuppgifter rättade. Detta ska ske utan oskäligt dröjsmål. Mot vissa former av databehandling kan den registrerade invända, vilket kan leda till att behandlingen av dennes personuppgifter måste upphöra. Tänk på en organisation som använder personuppgifter för marknadsföringsändamål. (För tillfället finns det redan en absolut rätt att invända mot direktmarknadsföring. Om en registrerad använder sig av denna rätt får du inte längre kontakta honom eller henne för marknadsföringsändamål).

Rätten att bli bortglömd
I vissa situationer har den registrerade rätt att få uppgifterna helt raderade. I GDPR har ytterligare grunder lagts till för denna rättighet. GDPR introducerar rätten att bli bortglömd. Det innebär att den personuppgiftsansvarige utan oskäligt dröjsmål måste radera personuppgifterna, till exempel när personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller på annat sätt behandlades. Det blir också obligatoriskt att vid en sådan begäran informera de parter med vilka du har delat uppgifterna. Namnen på dessa parter måste också delas med den registrerade. Den personuppgiftsansvarige måste vidta rimliga åtgärder för att radera uppgifterna, men också för att radera alla kopplingar, kopior eller reproduktioner.

Se även möjligheten att automatiskt anonymisera uppgifter i i-Reserve.

Rätt till dataportabilitet
GDPR introducerar rätten till dataportabilitet, det vill säga överförbarhet av personuppgifter. Det innebär att ni kan få förfrågningar från era kunder om att tillhandahålla deras personuppgifter. Det gäller alla digitala uppgifter som en organisation behandlar med den registrerades samtycke, plus de uppgifter som behövs för att genomföra ett avtal. Även en sökhistorik eller platsuppgifter omfattas av rätten till överförbarhet. Ni är som organisation då lagligen skyldiga att tillhandahålla uppgifterna i ett 'strukturerat, allmänt använt och maskinläsbart' format. Ni kan förbereda er på detta genom att i förväg tänka igenom hur ni ska tillhandahålla uppgifterna. Till exempel via ett verktyg med vilket era kunder direkt kan ladda ner sina uppgifter på ett säkert sätt.

Om det är tekniskt möjligt måste den personuppgiftsansvarige skicka uppgifterna direkt till en annan personuppgiftsansvarig. Detta kan till exempel ske med ett Application Programming Interface (API), som möjliggör en koppling mellan ert system och en applikation och en annan parts system.

I i-Reserve är det möjligt att kunden själv laddar ner sina uppgifter, att administratören exporterar kunduppgifter eller att uppgifter vidarebefordras via ett API.

Privacy by default och Privacy by design
GDPR introducerar en skyldighet till dataskydd via standardinställningar (Privacy by default) och via konfigurerbar funktionalitet (Privacy by design) inom mjukvaran.

Skyldigheten till Privacy by default innebär att du måste vidta tekniska och organisatoriska åtgärder för att säkerställa att du som standard ENDAST behandlar personuppgifter som är nödvändiga för det specifika ändamål du vill uppnå. Där användare kan anpassa sina integritetsinställningar själva ska dessa till exempel som standard ställas in på högsta nivå.

Skyldigheten till Privacy by design innebär att du redan vid utformningen av produkter, tjänster och organisationsprocesser måste säkerställa att personuppgifter skyddas.

Exempel:

• Vid erbjudandet av en app ska användarna inte registrera sin plats om det inte är nödvändigt;
• På webbplatsen ska rutan 'Ja, jag vill få erbjudanden' inte vara förkryssad i förväg;
• Om någon vill prenumerera på ett nyhetsbrev ska inte fler uppgifter efterfrågas än nödvändigt.

Se här vad i-Reserve gör för säkerhet och skydd av personuppgifter.

Säkerheten måste vara i ordning – och förbli det
Säkerhet för personuppgifter är avgörande. Utan kryptering, tvåfaktorsautentisering och möjligheten att separera och säkert radera personlig information tar ni som organisation en mycket stor risk.

Överträdelser och sanktioner
Den maximala böten per överträdelse av den nuvarande integritetslagens (Wbp) är för närvarande 900 000 euro. I GDPR ges de nationella tillsynsorganen fler befogenheter att sanktionera överträdelser av GDPR. Böterna är kraftiga och kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen om en organisation inte uppfyller lagens krav. Böter som delas ut i Sverige av den utsedda tillsynsmyndigheten: Integritetsskyddsmyndigheten (IMY).
Letar du efter detaljer? På autoriteitpersoonsgegevens.nl hittar du även svar på vanliga frågor.

Cookies, skräppost, e-post, telemarketing och GDPR
Regler för hantering av elektronisk kommunikation som cookies, wifi-spårning, e-post etc. är inte fastställda i GDPR. Det hittar du i ePrivacy-direktivet – en befintlig europeisk lagstiftning som uppdaterades 2018. ePrivacy-direktivet är också känt som cookielagen. EU hoppas kunna lansera de uppdaterade reglerna tillsammans med GDPR, för att i ett svep ge medborgarna ett starkare skydd för sin personliga information. Mer generellt fastställer denna lagtext de regler som organisationer måste följa för att garantera konfidentialiteten i digital kommunikation.