År 2018 kom dataskyddsförordningen som även kallas för GDPR. Syftet med GDPR är bland annat att skydda privatpersoners integritet. I en värld där digitaliseringen växer allt fortare är det viktigt att se över företagets hantering av personuppgifter. Våra jurister inom dataskyddsfrågor ger rådgivning gällande GDPR samt analyserar företagets hantering av personuppgifter så att denna överensstämmer med gällande lagstiftning. Vidare bistår våra jurister med implementeringar och incidenthantering samt tvister. Att inte följa GDPR kan bli kostsamt både i böter och dåligt rykte. Om ni är osäkra på om ert företag har upprättat de avtal och dokument som krävs enligt GDPR, bör ni kontakta en jurist så snart som möjligt. Våra jurister hjälper regelbundet start-ups samt små och medelstora företag att analysera vad som behöver göras för att efterleva GDPR.

Vanliga frågor

Vilka lagar står över GDPR?
Inom EU och EES har GDPR (Dataskyddsförordningen) hög prioritet, men det finns situationer där andra lagar kan ha företräde. Exempelvis kan nationell säkerhetslagstiftning och vissa sektorspecifika regleringar, som banksekretess, prioriteras över GDPR. Dessutom tillåter GDPR undantag och anpassningar via nationell lagstiftning för områden som yttrandefrihet och forskning. Så, medan GDPR är en omfattande förordning för dataskydd, kan specifika nationella lagar och områden av allmänt intresse leda till att andra regler tillämpas före GDPR.

Vad är känslig data enligt GDPR?
Enligt GDPR betraktas känslig data, eller "särskilda kategorier av personuppgifter", som information som avslöjar etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, fackföreningsmedlemskap, genetiska uppgifter, biometriska uppgifter för entydig identifiering av en person, hälsouppgifter, sexuellt liv eller sexuell läggning. Behandling av sådan data är under striktare regler och kräver oftast uttryckligt samtycke eller att det finns starka rättsliga grunder och skyddsåtgärder.

Hur samtycke GDPR?
Enligt GDPR måste samtycke vara frivilligt, specifikt, informerat och otvetydigt. Det innebär att den person som lämnar sitt samtycke måste göra det genom en aktiv handling, till exempel genom att kryssa i en ruta på en webbplats, och inte genom förvalda alternativ eller passivitet. Personen ska också få tydlig information om exakt vad de samtycker till, vilka uppgifter som samlas in, hur de kommer att användas, och ha möjlighet att enkelt dra tillbaka sitt samtycke när som helst. Samtycke måste dokumenteras så att det går att bevisa att en person har samtyckt till behandlingen av sina personuppgifter på ett lagligt sätt.

Vad är GDPR och vad innebär det?
GDPR står för "Allmänna dataskyddsförordningen" och är en lagstiftning som trädde i kraft inom Europeiska unionen (EU) och Europeiska ekonomiska samarbetsområdet (EES) den 25 maj 2018. GDPR syftar till att skydda individers personuppgifter och stärka den enskildes rättigheter kring hur deras data hanteras. Det innebär krav på transparens från de som behandlar personuppgifter, säkerställande av att datan är skyddad, och ger individer rättigheter såsom att få tillgång till sin data, rätten att bli bortglömd, och rätten att invända mot hur deras data används. GDPR gäller för alla organisationer som behandlar data om individer i EU, oavsett var organisationen är baserad

Vad är GDPR i enkla termer?
GDPR är en lag inom EU som handlar om att skydda människors privatliv när det gäller deras personuppgifter. Den säger att företag och organisationer måste vara öppna med vad de gör med din information, de måste skydda den och du har rätt att veta vad de samlar in om dig. Du kan också be dem radera din information eller sluta använda den på vissa sätt.

Vad får man inte maila enligt GDPR?
Enligt GDPR får man inte maila personuppgifter som bryter mot principerna för dataskydd utan lämplig grund. Det innebär att du inte får skicka e-postmeddelanden som innehåller känslig eller personlig information om någon utan att personen har gett sitt tydliga samtycke, eller om det inte finns en annan laglig grund för behandlingen, såsom ett avtal eller en rättslig förpliktelse. Det gäller särskilt för känslig information, såsom hälsouppgifter, politiska åsikter eller religiösa övertygelser. Vidare bör man undvika att skicka oskyddad personinformation, som kan komma i orätta händer, och istället använda kryptering eller andra säkerhetsåtgärder för att skydda datan.

Kan jag som privatperson bryta mot GDPR?
Ja, även en privatperson kan i teorin bryta mot GDPR, men det beror på sammanhanget. GDPR gäller främst för behandling av personuppgifter i en yrkesmässig eller kommersiell kontext, inte för personlig eller hushållsrelaterad verksamhet. Men om en privatperson exempelvis driver en blogg, en mindre webbshop eller hanterar personuppgifter på ett sätt som överskrider strikt personligt eller hushållsbruk, kan den personen behöva följa GDPR:s regler. Det innebär att om du hanterar personuppgifter på ett sätt som kan påverka andra personers rättigheter och friheter i en icke-personlig kontext, kan du behöva följa GDPR.

Vilken myndighet är ansvarig för GDPR?
I varje medlemsland inom EU och EES finns en nationell tillsynsmyndighet som är ansvarig för att övervaka efterlevnaden av GDPR. I Sverige är det Datainspektionen (som från och med 2018 bytte namn till Integritetsskyddsmyndigheten, IMY) som är ansvarig myndighet. IMY har till uppgift att granska att organisationer och företag följer GDPR, ge vägledning och information om reglerna, samt hantera klagomål från allmänheten gällande hantering av personuppgifter.

Vem har hand om GDPR i Sverige?
I Sverige är det Integritetsskyddsmyndigheten (IMY), tidigare känd som Datainspektionen, som hanterar frågor relaterade till GDPR. IMY övervakar efterlevnaden av dataskyddsregler, ger vägledning till både organisationer och privatpersoner, och utreder klagomål som rör behandlingen av personuppgifter.

Vad händer om en myndighet bryter mot GDPR?
Om en myndighet bryter mot GDPR kan Integritetsskyddsmyndigheten (IMY) i Sverige ingripa med en rad åtgärder. Dessa kan inkludera att utfärda varningar och anmärkningar, kräva att myndigheten vidtar åtgärder för att rätta till bristerna, utfärda förbud mot fortsatt databehandling som inte följer GDPR, och i allvarliga fall utdela sanktionsavgifter. Storleken på sanktionsavgifterna kan vara betydande och baseras på överträdelsens allvar och omfattning. Dessutom har de personer vars rättigheter påverkats möjlighet att kräva skadestånd.

Måste privatpersoner följa GDPR?
Privatpersoner behöver generellt inte följa GDPR när de behandlar personuppgifter i en rent privat eller hushållsnära kontext, till exempel när de skickar e-post till vänner eller delar bilder på sociala medier inom en privat krets. GDPR tillämpas främst på organisationer, företag och myndigheter som behandlar personuppgifter i sina verksamheter. Dock, om en privatperson på något sätt behandlar personuppgifter i en mer offentlig eller kommersiell kontext, kan GDPR bli tillämplig. Det är viktigt att skilja på personligt och privat bruk jämfört med aktiviteter som rör en verksamhet, även om den är liten.

Får man lämna ut mailadress enligt GDPR?
Ja, man får lämna ut mailadresser enligt GDPR, men det finns specifika villkor som måste uppfyllas. Den grundläggande principen är att personuppgifter, inklusive e-postadresser, får behandlas lagligt, rättvist och på ett transparent sätt.

Vem ska anmäla Personuppgiftsincident?
En personuppgiftsincident ska anmälas av den personuppgiftsansvarige till den relevanta tillsynsmyndigheten, i Sverige är det Integritetsskyddsmyndigheten (IMY). Detta ska ske utan onödigt dröjsmål och, om möjligt, inom 72 timmar efter att den personuppgiftsansvarige har blivit medveten om incidenten. Om det finns en hög risk för de registrerades rättigheter och friheter, ska även de berörda personerna informeras om incidenten. Personuppgiftsbiträden, som behandlar personuppgifter på den personuppgiftsansvariges vägnar, är skyldiga att utan onödigt dröjsmål informera den personuppgiftsansvarige om incidenter som påverkar de behandlade personuppgifterna.

Vem ska utse Dataskyddsombud?
Dataskyddsombud ska utses av organisationer som 1: är offentliga myndigheter eller organ. 2: utför behandlingar som kräver regelbunden och systematisk övervakning av registrerade i stor skala, eller 3: behandlar känsliga personuppgifter i stor skala.

När ska man anmäla till Datainspektionen?
En personuppgiftsincident ska anmälas till Datainspektionen (nu Integritetsskyddsmyndigheten, IMY) inom 72 timmar efter att den personuppgiftsansvarige blivit medveten om den, om incidenten sannolikt leder till en risk för de registrerades rättigheter och friheter.

Vad innebär GDPR för föreningar?
För föreningar innebär GDPR att de måste hantera personuppgifter på ett lagligt, rättvist och transparent sätt. Föreningar behöver säkerställa att de har rättslig grund för att samla in och använda medlemmars och andra berörda personers uppgifter, informera dessa om hur deras data används, skydda uppgifterna från obehörig åtkomst och ge individerna rätt att få tillgång till, rätta till eller radera sina uppgifter. GDPR gäller även för små föreningar och kräver att de vidtar nödvändiga åtgärder för att efterleva dataskyddsreglerna.

Är GDPR svensk lag?
GDPR är inte en svensk lag utan en EU-förordning som gäller som lag i alla EU:s medlemsländer, inklusive Sverige. Dock har Sverige, liksom andra medlemsländer, implementerat GDPR i sin nationella lagstiftning för att säkerställa att den fungerar smidigt med befintliga lagar och för att hantera specifika nationella omständigheter.

När krävs samtycke GDPR?
Samtycke krävs enligt GDPR när ingen annan laglig grund för behandling av personuppgifter finns, till exempel när behandlingen inte är nödvändig för att fullgöra ett avtal med den registrerade, för att uppfylla en rättslig förpliktelse, skydda vitala intressen, utföra en uppgift av allmänt intresse eller utöva officiell myndighetsutövning, eller för att tillgodose ett legitimt intresse. Samtycke används ofta för marknadsföring, vissa typer av dataöverföringar och vid behandling av känsliga personuppgifter.

Vad händer om ett företag bryter mot GDPR?
Om ett företag bryter mot GDPR kan det leda till utredning av den ansvariga tillsynsmyndigheten, såsom Integritetsskyddsmyndigheten i Sverige. Beroende på överträdelsens allvar kan företaget få varningar, bli ålagt att vidta specifika åtgärder för att rätta till problemen, eller i allvarligare fall, bötfällas. Böterna kan vara upp till 20 miljoner euro eller 4% av företagets globala årsomsättning, beroende på vilket belopp som är högre. Det kan också påverka företagets rykte negativt.

Finns GDPR i hela världen?
GDPR gäller inom Europeiska unionen (EU) och Europeiska ekonomiska samarbetsområdet (EES). Den direkt påverkar inte länder utanför dessa områden. Dock måste företag och organisationer utanför EU/EES som behandlar personuppgifter om individer inom EU/EES följa GDPR när det gäller dessa personuppgifter. Detta har lett till att många länder utanför EU har antagit liknande dataskyddslagar för att förenkla handel och datadelning med EU.

Är GDPR subsidiär?
GDPR är inte subsidiär i den traditionella bemärkelsen av ordet, där subsidiär lag tillämpas endast när annan lagstiftning inte ger svar på en specifik fråga. Istället är GDPR en överordnad förordning som direkt tillämpas i alla EU- och EES-länder och styr behandlingen av personuppgifter. Dock kan nationella lagar komplettera och specificera GDPR:s bestämmelser ytterligare inom vissa områden, såsom för behandling av personnummer eller vid särskilda situationer som rör yttrandefrihet. Men GDPR:s regler har företräde framför nationella lagar som reglerar dataskydd, för att säkerställa en enhetlig skyddsnivå för personuppgifter inom hela EU.