Resurs och GDPR

Krav enligt Dataskyddsförordningen

Många av de krav som Dataskyddsförordningen medförde 2018 fanns redan i tidigare lagstiftning.. En viktig del i det förbättrade skyddet för enskilda personer vars personuppgifter behandlas, s.k. registrerade, är att det ställs högre krav på den som behandlar personuppgifter, d.v.s. alla företag, organisationer och myndigheter som behandlar personuppgifter. Den som behandlar personuppgifter ansvarar för och ska kunna visa att man följer bestämmelserna i Dataskyddsförordningen (s.k. ansvarsskyldighet). Det innebär i korthet att den som behandlar personuppgifter ska kunna visa att de grundläggande principer som anges i Dataskyddsförordningen följs och även i övrigt följa de krav som finns i Dataskyddsförordningen. Du kan läsa om de grundläggande principerna i Dataskyddsförordningen i kapitel II - Principer i Dataskyddsförordningen. Ansvaret för att informera de registrerade i olika avseenden och kraven på vilken information som ska lämnas till de registrerade har också utökas genom Dataskyddsförordningen. I korthet innebär det att registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Registrerade har rätt att få information om vilka personuppgifter som rör den registrerade och som behandlas (registerutdrag). En begäran om sådan information kan göras både skriftligen med vanligt brev och även på annat sätt, exempelvis elektroniskt. Vidare harden som har lämnat sina personuppgifter i vissa fall har rätt att få ut och begära att personuppgifterna överförs till en annan personuppgiftsansvarig, när det är tekniskt möjligt (dataportabilitet). I Dataskyddsförordningen finns också krav på inbyggt dataskydd ("privacy by design") och dataskydd som standard ("privacy by default") vilket i korthet betyder att man ska ta hänsyn till integritetsskyddsreglerna redan när man utformar IT-system och rutiner samt att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan.

De registrerades rättigheter har utökats, förstärkts och specificerats i Dataskyddsförordningen jämfört med PuL. Generellt kan man säga att ansvaret för att informera de registrerade i olika avseenden och kraven på vilken information som ska lämnas till de registrerade utökas genom Dataskyddsförordningen. I korthet innebär det att registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Registrerade har på samma sätt som tidigare rätt att få information om vilka personuppgifter som rör den registrerade och som behandlas (registerutdrag). Det som är nytt är att en begäran om sådan information inte bara kan göras skriftligen med vanligt brev utan även på annat sätt, exempelvis elektroniskt. En annan nyhet är t.ex. att den som har lämnat sina personuppgifter i vissa fall har rätt att få ut och begära att personuppgifterna överförs till en annan personuppgiftsansvarig, när det är tekniskt möjligt (dataportabilitet).

I Dataskyddsförordningen finns också krav på inbyggt dataskydd ("privacy by design") och dataskydd som standard ("privacy by default") vilket i korthet betyder att man ska ta hänsyn till integritetsskyddsreglerna redan när man utformar IT-system och rutiner samt att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan.

Personuppgiftsansvarig och personuppgiftsbiträde

Den som behandlar personuppgifter på uppdrag av ett eller flera företag är att betrakta som personuppgiftsbiträde medan den som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till, är att betrakta som personuppgiftsansvarig. I Dataskyddsförordningen regleras vad som gäller för personuppgiftsbiträden företrädesvis i artiklarna 28-31 och i de därtill relaterade bestämmelserna. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska det enligt Dataskyddsförordningen finnas ett skriftigt avtal. I personuppgiftsbiträdesavtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige. Det ställs också krav på att personuppgiftsbiträdet ska föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud. Personuppgiftsbiträdet kan precis som den personuppgiftsansvarige bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig. Det är därför viktigt att ett personuppgiftsbiträde är medveten om och följer reglerna i Dataskyddsförordningen.

Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för uppgifterna, både tekniskt och organisatoriskt. Ett personuppgiftsbiträde måste t.ex. ge tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen och säkerställer att registrerades rättigheter skyddas. Detta innefattar att, när det är lämpligt, använda sig av pseudonymisering och kryptering av personuppgifter, ha förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, ha förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en incident, och slutligen att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Vidare måste personuppgiftsbiträdet säkerställa att varje fysisk person som utför arbete under personuppgiftsbiträdets tillsyn, och som får tillgång till personuppgifter, endast behandlar dessa enligt instruktioner från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det. I detta ingår också att säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

I skyldigheterna för ett personuppgiftsbiträde ingår bl.a. också att, med tanke på behandlingens art och i den mån det är möjligt, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, så att den personuppgiftsansvarige kan uppfylla sin skyldighet att svara på en begäran från den registrerade när denne vill utöva sina rättigheter enligt Dataskyddsförordningen. Vidare ska personuppgiftsbiträdet möjliggöra och bidra till granskningar och inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

Känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i Dataskyddsförordningen. Med sådana personuppgifter avses t.ex. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter och uppgifter om hälsa. I Dataskyddsförordningen kallas sådana personuppgifter för särskilda kategorier av personuppgifter. Ofta används även begreppet känsliga personuppgifter. Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter men det finns emellertid flera undantag från förbudet.

Även ett personnummer räknas som en extra skyddsvärd personuppgift. Personnummer och samordningsnummer bör därför exponeras så lite som möjligt, och det måste vara klart motiverat att behandla dessa uppgifter med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Annat personuppgiftsbiträde (inkluderat konsulter)

Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige eller att ett allmänt skriftligt tillstånd har erhållits. I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av en specifik behandling på den personuppgiftsansvariges vägnar ska underbiträdet ha samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Om underbiträdet inte uppfyller sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.

Registerförteckning

Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga enligt Dataskyddsförordningen att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen av Dataskyddsförordningen, se artikel 30.

Särskilt om tredjelandsöverföring

Dataskyddsförordningen innebär att alla EU:s medlemsstater (inklusive EES-länderna Norge, Island och Liechtenstein) har ett likvärdigt skydd för personuppgifter och personlig integritet. Personuppgifter får därför föras över fritt utan begränsningar inom detta område. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU och EES har man ansett att överföring till länder utanför EU och EES (så kallad tredjelandsöverföring) bara får ske under särskilda förutsättningar. För sådan överföring gäller därför särskilda regler, se artiklarna 44-50 i Dataskyddsförordningen. Ett personuppgiftsbiträde får endast använda tredjelandsöverföring efter skriftliga instruktioner från den personuppgiftsansvarige om inte behandlingen krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av.

Konsekvensbedömning och förhandssamråd

Ibland kan den som behandlar personuppgifter, dvs. såväl personuppgiftsbiträdet som den personuppgiftsansvarige, behöva göra en konsekvensbedömning avseende dataskydd. I Dataskyddsförordningen anges när sådant krav förekommer, se artikel 35 Dataskyddsförordningen. Så kan t.ex. vara fallet när man utvärderar eller poängsätter människor såsom vid ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare, om man behandlar personuppgifter i stor omfattning, om man kombinerar personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig, t.ex. när man samkör register, eller om man behandlar personuppgifter på ett sätt som hindrar de registrerade från att få tillgång till en tjänst eller ingå ett avtal, t.ex. när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån. Målet är att minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk. Om man ändå anser att det finns hög risk med personuppgiftsbehandlingen ska man rådgöra med Datainspektionen innan man får påbörja behandlingen, se artikel 36 om förhandssamråd.

Krav på rapportering vid dataintrång och andra personuppgiftsincidenter

Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste det rapporteras till Datainspektionen. En personuppgiftsincident ("personal data breach") ska enligt huvudregeln anmälas till Datainspektionen av den personuppgiftsansvariga inte senare än 72 timmar efter det att man har fått vetskap om incidenten. Ett personuppgiftsbiträde som får kännedom om en personuppgiftsincident ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om incidenten.

Dataskyddsombud

Alla som behandlar personuppgifter och som omfattas av Dataskyddsförordningen, d.v.s. även personuppgiftsbiträden, måste göra en egen bedömning av om de behöver ett dataskyddsombud, se särskilt artiklarna 37-39 i Dataskyddsförordningen och de därtill relaterade bestämmelserna. Det kan förekomma att ett personuppgiftsbiträde behöver ett dataskyddsombud även om dess uppdragsgivare inte behöver dataskyddsombud. Så kan t.ex. vara fallet om personuppgiftsbiträdet har många liknande kunder och behandlar stora mängder personuppgifter från många olika kunder.

Uppförandekoder och certifieringsmekanismer

De som behandlar personuppgifter kan ansluta sig till en uppförandekod för att visa att man följer bestämmelserna i Dataskyddsförordningen. En uppförandekod är riktlinjer för hur en viss verksamhet, bransch eller samhällssektor ska behandla personuppgifter i enlighet med Dataskyddsförordningen och kan tas fram av t.ex. en branschorganisation. Uppförandekoder ska godkännas av och registreras hos Datainspektionen. En annan möjlighet är certifieringar som görs av ett ackrediterat certifieringsorgan (Swedac i Sverige).

Sanktioner

Dataskyddsförordningen innehåller bestämmelser om administrativa sanktionsavgifter, vilka har till syfte att säkerställa att reglerna i Dataskyddsförordningen följs. Sanktionsavgifterna kan uppgå till 20 miljoner euro eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Därutöver gäller att varje medlemsland inom EU har möjlighet att besluta om andra sanktioner för överträdelse av Dataskyddsförordningen.

För mer information, v.g. se framförallt kapitel IV om Personuppgiftsansvarig och personuppgiftsbiträde i Dataskyddsförordningen och Datainspektionens information om Dataskyddsförordningen .

Om du har några frågor, är du välkommen att kontakta oss, GDPR@resurs.se.