Senast kontrollerat: 15/03/2019

Uppgiftsskydd enligt GDPR

Storbritanniens beslut att aktivera artikel 50 i EU-fördraget: Mer information

I den allmänna dataskyddsförordningen fastställs detaljerade skyldigheter för företag och organisationer som samlar in, lagrar och behandlar personuppgifter. Reglerna gäller alla företag, oavsett om de är baserade i eller utanför EU.

När ska den allmänna dataskyddsförordningen tillämpas?

Dataskyddsförordningen gäller om

Företag i länder utanför EU måste i så fall utse en företrädare i EU.

När ska den allmänna dataskyddsförordningen inte tillämpas?

Dataskyddsförordningen gäller inte om

Vad är personuppgifter?

Personuppgifter är all information om en identifierad eller identifierbar person ( den registrerade), bland annat

Särskilda uppgiftskategorier

Du får inte behandla personuppgifter om

Vem har hand om uppgifterna?

När personuppgifter behandlas kan de hamna hos flera olika företag och organisationer. De viktigaste aktörerna är

Vem övervakar företagets behandling av personuppgifter?

En del företag måste ha ett dataskyddsombud som övervakar hur uppgifterna behandlas, bistår berörd personal och informerar om personalens skyldigheter. Dataskyddsombudet ska också samarbeta med dataskyddsmyndigheten och fungera som kontaktpunkt mellan myndigheten och berörda personer.

När måste ett företag utse ett dataskyddsombud?

Ditt företag måste ha ett dataskyddsombud om

Ni måste t.ex. ha ett dataskyddsombud om ni behandlar personuppgifter för att visa riktad reklam i sökmotorer på grundval av personernas beteende på nätet. Men om ni bara skickar reklammaterial till era kunder en gång om året behöver ni inget dataskyddsombud. En privat läkarmottagning som samlar in patientuppgifter behöver normalt inte heller ha något dataskyddsombud. Men om du behandlar uppgifter om personers genetiska status eller hälsotillstånd för ett sjukhus, då behöver du ett dataskyddsombud.

Dataskyddsombudet kan tillhöra företagets personal eller vara en extern person som man sluter ett tjänsteavtal med. Dataskyddsombudet kan vara en fysisk person eller ingå i en organisation.

Uppgiftsbehandling för ett annat företag

En personuppgiftsansvarig får bara anlita en databehandlare som ger tillräckliga garantier. Garantierna ska ingå i ett skriftligt avtal mellan de berörda parterna. Avtalet måste också innehålla en rad obligatoriska bestämmelser som bland annat anger att databehandlaren bara får behandla personuppgifter på instruktion från den personuppgiftsansvariga.

Överföring av uppgifter till länder utanför EU

När personuppgifter överförs till länder utanför EU ska skyddet enligt dataskyddsförordningen fortsätta att gälla. Ditt företag får därför bara exportera uppgifter utanför EU om något av följande kriterier är uppfyllt:

När får man behandla personuppgifter?

Enligt EU:s dataskyddsregler ska uppgifterna behandlas på ett lagligt och korrekt sätt för särskilda, uttryckligt angivna och berättigade ändamål och bara i den omfattning som krävs för att uppnå dessa ändamål. För att du ska få behandla personuppgifter måste något av följande villkor vara uppfyllt:

Hur får man någons samtycke?

Enligt dataskyddsförordningen gäller strikta regler för behandlingen av personuppgifter på grundval av samtycke. Tanken är att man verkligen ska förstå vad man samtycker till. Principen är att samtycket ska lämnas som ett frivilligt, specifikt, informerat och otvetydigt svar på en begäran som formulerats på ett tydligt och enkelt språk. Samtycket ska lämnas genom en bekräftande handling, t.ex. genom att man skriver på ett formulär eller markerar en ruta på en webbplats.

Personuppgifterna får bara behandlas för de ändamål som samtycket avser. Man måste också kunna dra tillbaka sitt samtycke.

Insyn och öppenhet

Ni måste tydligt informera den registrerade personen om vem som behandlar personuppgifterna och varför. Ni måste åtminstone informera om

Eventuellt måste ni också

Informationen ska vara tydlig och enkel.

Vad gäller för barn?

Om du vill samla in personuppgifter om ett barn som exempelvis vill använda sociala medier eller ladda ner något från nätet, måste du först skaffa vårdnadshavarens samtycke, t.ex. genom att skicka ett mejl till en förälder. Åldersgränsen för att själv kunna samtycka till behandling av personuppgifter är mellan 13 och 16 år beroende var barnet bor.

Rätt till tillgång och dataportabilitet

Du måste respektera den registrerade personens rätt att gratis få tillgång till sina personuppgifter. Om någon begär att få tillgång till sina uppgifter måste du

Om uppgiftsbehandlingen grundar sig på samtycke eller ett avtal kan den registrerade personen också begära att du lämnar ut uppgifterna eller överför dem till ett annat företag. Detta kallas dataportabilitet. Du måste lämna uppgifterna i ett vanligt och maskinläsbart format.

Rätt att korrigera och invända

Alla som anser att deras personuppgifter är felaktiga eller ofullständiga har rätt att få dem rättade eller kompletterade utan onödigt dröjsmål.

Om du rättar eller kompletterar uppgifter måste du också informera alla som du har delat uppgifterna med om detta. Eventuellt måste du också meddela dem som redan har sett de felaktiga uppgifterna (om detta inte medför en orimlig börda).

De registrerade får också när som helst invända mot uppgiftsbehandlingen för ett särskilt ändamål om ni behandlar uppgifterna för att ni har ett eget berättigat intresse eller utför en uppgift av allmänt intresse. Ni måste i så fall sluta att behandla uppgifterna utom om ert berättigade intresse väger tyngre än den registrerade personens intresse.

Samma sak gäller om en registrerad person begär en begränsning av uppgiftsbehandlingen medan det avgörs vems intressen som väger tyngst. När det gäller direkt marknadsföring måste ni däremot alltid genast sluta att behandla uppgifterna om den registrerade begär detta.

Rätt att radera sina personuppgifter (rätten att bli bortglömd)

Under vissa omständigheter kan en registrerad person begära att ditt företags personuppgiftsansvariga raderar personuppgifterna, t.ex. om de inte längre behövs för uppgiftsbehandlingens ändamål. Ni behöver dock inte radera uppgifterna om

Automatiserade beslut och profileringar

En registrerad person har rätt att slippa bli föremål för ett beslut som enbart grundas på automatiserad behandling. Det finns dock vissa undantag, t.ex. om personen i fråga uttryckligen har samtyckt till automatiserade beslut. Om det inte rör sig om lagstadgade automatiserade beslut måste ditt företag

Exempel: Om en bank automatiserar sina beslut om en persons låneansökningar måste personen informeras om detta och ges möjlighet att invända mot beslutet och begära att en banktjänsteman behandlar ansökan.

Anmälan av personuppgiftsincidenter

En personuppgiftsincident föreligger om de personuppgifter som ditt företag ansvarar för kommer på avvägar eller olagligen lämnas ut till obehöriga, görs otillgängliga eller ändras.

Om personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter måste du anmäla incidenten till dataskyddsmyndigheten inom 72 timmar efter att ha fått vetskap om den.

Om incidenten innebär en allvarlig risk för de berörda personerna är du eventuellt skyldig att informera dem direkt.

Begäran från en registrerad person

Om ditt företag får en begäran från en fysisk person som hänvisar till någon av sina rättigheter, måste du svara utan onödigt dröjsmål och senast inom en månad. Om begäran är komplicerad eller gäller flera ärenden kan svarstiden förlängas till två månader, förutsatt att personen i fråga informeras. Du får inte ta betalt för att handlägga begäran.

Om du avslår en begäran måste du informera den berörda personen om dina skäl och upplysa om att han eller hon har rätt att klaga hos dataskyddsmyndigheten.

Konsekvensbedömning

Ditt företag måste alltid ta fram en konsekvensbedömning för dataskyddet när den planerade uppgiftsbehandlingen innebär en allvarlig risk för fysiska personers rättigheter och friheter, t.ex. om ni tänker använda ny teknik.

En allvarlig risk föreligger om ni

Obs: Dataskyddsmyndigheterna kan komma fram till att även andra kategorier av uppgiftsbehandling innebär en allvarlig risk.

Om åtgärderna i konsekvensbedömningen inte räcker för att undanröja de identifierade riskerna, måste ni rådfråga dataskyddsmyndigheten innan ni påbörjar den planerade uppgiftsbehandlingen.

Register

På dataskyddsmyndighetens begäran eller vid en inspektion måste ni kunna visa att företaget följer dataskyddsförordningen och uppfyller alla tillämpliga skyldigheter.

Vi rekommenderar därför att ni för ett detaljerat register över

Ditt företag bör också skriva ner – och regelbundet uppdatera – rutiner och riktlinjer och informera personalen om dem.

Om du har ett litet eller medelstort företagen behöver du inte registrera din uppgiftsbehandling förutsatt att den

  • inte görs regelbundet
  • inte påverkar de registrerades rättigheter och friheter
  • inte gäller känsliga uppgifter eller kriminalregister.

Inbyggt dataskydd och dataskydd som standard

Med inbyggt dataskydd menas att företaget ska tänka på dataskydd redan i ett tidigt skede när man planerar nya sätt att behandla personuppgifter. Det innebär att den personuppgiftsansvariga ska vidta alla tekniska och organisatoriska åtgärder som krävs för att följa principerna för dataskydd och skydda fysiska personers rättigheter, bland annat genom pseudonymisering.

Med dataskydd som standard menas att företaget alltid ska ha den säkraste sekretessinställningen som standardinställning. Om det t.ex. finns två sekretessinställningar där den ena hindrar utomstående från att få tillgång till personuppgifter, så ska den väljas som standardinställning.

Överträdelser och påföljder

Om ditt företag bryter mot dataskyddsförordningen kan du få betala böter på upp till 20 miljoner euro eller 4 procent av företagets globala omsättning. Dataskyddsmyndigheten kan vidta ytterligare korrigerande åtgärder och t.ex. ålägga dig att sluta behandla personuppgifter.

Vanliga frågor – Skydd av personuppgifter och integritet på nätet

EU-lagstiftning

Behöver du hjälp från våra rådgivningstjänster?

Kontakta våra hjälp- och rådgivningstjänster

Lokalt företagsstöd - Har du frågor om att göra affärer utomlands, till exempel exportera eller expandera i ett annat EU-land? Enterprise Europe Network kan ge dig gratis rådgivning.

Dela denna sida: