Information om GDPR-avtal och andra delar av EU-förordningen

Det är mycket att hålla reda på som företagare gällande GDPR och här kan du lösa information om GDPR-avtal och andra delar av EU-förordningen.

Syftet med GDPR

GDPR är en EU-förordning som började gälla i maj 2018 och alla företag som behandlar personuppgifter måste följa GDPR. Detsamma gäller organisationer och offentliga organ.

Syftet med GDPR är bland annat att skydda personuppgifter när de blir behandlade. En personuppgift är en uppgift s om det går att koppla till en fysiskt levande person. Dessutom är syftet att skapa förutsättningar för att flödet av personuppgifter ska vara fritt inom EU/EES-området, där GDPR gäller.

Definition av personuppgifter

Det finns personuppgifter som inte är så tydliga men det är fortfarande personuppgifter och det finns tydliga personuppgifter. Dessutom kan personuppgifter ha både en subjektiv eller objektiv karaktär. En diagnos från exempelvis en läkare såsom en ADHD diagnos är en personuppgift som är av subjektiv karaktär. Det är också en känslig personuppgift enligt GDPR eftersom det är en uppgift om hälsa.

Rättsliga grunder

En rättslig grund är en laglig grund. Företag måste ha det för att få behandla personuppgifter. Om inte, är behandlingen inte tillåten. De sex rättsliga grunderna i GDPR är samtycke, avtal med registrerade, intresseavvägning, skydda grundläggande intresse, rättslig förpliktelse samt myndighetsutövning och uppgift av allmänt intresse.

Grundläggande dataskyddsprinciper

Kort sagt innebär de sju (7) grundläggande principerna som företag måste följa enligt GDPR att företaget har ett syfte med behandlingen, stödjer den på en rättslig grund, informerar de registrerade om behandlingen, inte behandlar fler personuppgifter än nödvändigt för ändamålet, vidtar tekniska och organisatoriska åtgärder för att skydda personuppgifterna, raderar personuppgifterna när de inte längre är nödvändiga för syftet och kan visa att företaget följer GDPR.

Tekniska och organisatoriska åtgärder

Alla företag som behandlar personuppgifter måste skydda dem. Det ska ske genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Dessutom behöver de vidta organisatoriska åtgärder för att till exempel kunna tillgodose de registrerades rättigheter. Till exempel om en registrerad återkallar sitt samtycke.

Företag behöver också ha lämpliga dokument och avtal såsom bland annat interna rutiner, personuppgiftsbiträdesavtal och integritetspolicy vilket är en del av de organisatoriska åtgärderna.

Företag utsatt för dataintrång

Ett stort företag fick betala över 180 miljoner pund i sanktionsavgift eftersom de inte hade vidtagit tillräckliga tekniska åtgärder för att skydda personuppgifter som de behandlade efter de blivit utsatta för ett dataintrång. Hackarna kom åt hundratusentals personuppgifter vilket inkluderade kreditkortsuppgifter. Företaget är engelskt men det var innan de lämnade EU som incidenten inträffade. För att läsa mer detaljerad information om GDPR eller detta fall, kan man besöka www.AvtalGDPR.se som är en del av Digitala Juristerna.

Avtal och dokument

Företag behöver ha vissa dokument och avtal för att följa GDPR. Till exempel kan företag behöva en integritetspolicy, interna rutiner, registerförteckning och personuppgiftsbiträdesavtal. Dessutom kan företag behöva göra vissa bedömningar såsom en konsekvensbedömning av dataskydd. Det är viktigt för företag att veta vilka dokument företaget behöver ha eftersom det kan skilja sig mellan företag. Det är också viktigt för att kunna visa att företaget följer GDPR i enlighet med ansvarsskyldighet vilket är en av dataskyddsprinciperna.

Ansvariga

Personuppgiftsansvariga och personuppgiftsbiträden är ansvariga för att de följer GDPR. Alla företag som behandlar företag är antingen ett biträde eller ansvarig. Däremot är det inte ett avtal som reglerar vem som är vad utan det faktiska förhållandet. Dessutom kan ett företag vara ett personuppgiftsbiträde i vissa fall men personuppgiftsansvarig i andra. Till exempel om ett företag anlitar ett företag som bedriver en molntjänst för att ha backupfiler på de personuppgifter som behandlas är det företaget personuppgiftsansvarig. Om företaget har anställda är de istället personuppgiftsansvariga då.

Svenska dataskyddsmyndigheten

IMY är den svenska dataskyddsmyndigheten och hette tidigare Datainspektionen. Myndigheten bytte namn 2021 och IMY är en förkortning av Integritetsskyddsmyndigheten. De arbetar bland annat med GDPR men ger även tillstånd för kameraövervakning och inkassoverksamhet. Om en person vill lämna in ett klagomål för att denne anser att ett företag bryter mot GDPR, är det till IMY som det ska ske. Observera att man även kan behöva kontakta Polisen, om det är ett brott såsom dataintrång.

Personuppgiftsincidenter

Företag ska förebygga personuppgiftsincidenter. Dessutom behöver företag i vissa fall rapportera personuppgiftsincidenter till IMY. Detsamma gäller registrerade som blivit påverkade. Det kan få stora konsekvenser för registrerade när det inträffar en personuppgiftsincident. Exempelvis kan det leda till en ekonomisk skada eller skadlig ryktesspridning.

Rapporterade inte personuppgiftsincident utan onödigt dröjsmål

Det inträffade en personuppgiftsincident hos statens servicecenter, som var personuppgiftsbiträde. Däremot tog det flera månader innan de rapporterade det till de personuppgiftsansvariga. Dessutom tog det flera månader innan de rapporterade det till IMY, som vid tillfället hette Datainspektionen. En sådan anmälan ska ske inom 72 timmar från och med upptäckten vilket då inte skedde. Totalt fick de betala 200 000 i sanktionsavgift.

Exempel på personuppgiftsincidenter

Det är inte enbart en personuppgiftsincident om någon obehörig får tillgång till personuppgifter. Det är en personuppgiftsincident även om personuppgifter blir ändrade. Dessutom är det en personuppgiftsincident om personuppgifter förloras vilket kan ske till exempel genom att ett system kraschar.

Vanlig personuppgiftsincident

En vanlig personupgiftsincident är felskickade mejl som innehåller personuppgifter. De första åren sedan GDPR började gälla var det den vanligaste personuppgiftsincidenten. Det är bra att alltid dubbelkolla så att mottagaradressen är korrekt när man skickar personuppgifter via mejl eftersom det är enkelt att råka göra ett slarvfel och till exempel skriva en bokstav själv.

Konsekvenser om företag inte följer GDPR

Företag som bryter mot GDPR kan få stora ekonomiska konsekvenser och därför är det viktigt att känna till reglerna i GDPR för att kunna följa det. I värsta fall kan företag få en sanktionsavgift som uppgår till 20 miljoner euro. Alternativt kan de få en sanktionsavgift som uppgår till 4 % av den totala omsättningen. I fallet som är nämnt högre upp, fick företaget betala 183 miljoner pund i sanktionsavgift vilket är mycket pengar.

Om företag överför personuppgifter till tredjeland

Enligt GDPR är det en överföring av personuppgifter till tredjeland om landet är utanför EU/EES-området. Det kan vara tillåtet men det är viktigt att tänka på reglerna eftersom de är striktare. Inom EU får personuppgifter bli överförda fritt.

Exempel på när företag överför personuppgifter till tredjeland

Ett exempel på när företag överför personuppgifter till tredjeland är om ett företag i Sverige skickar ett mejl med personuppgifter till ett annat företag i exempelvis USA. Ett annat exempel är om ett företag använder en molntjänst för att lagra personuppgifter och företaget är i USA.

EU-kommissionen kan besluta att ett land har adekvat skyddsnivå

Det är tillåtet att överföra personuppgifter till de länder som EU-kommissionen har beslutat har adekvat skyddsnivå. Till exempel Schweiz. Observera dock att företaget inte kan göra en sådan bedömning utan enbart EU-kommissionen. Dessutom kan det också vara tillåtet om det är ett enskilt fall, även fast landet inte har adekvat skyddsnivå. Detsamma gäller om företaget vidtar lämpliga skyddsåtgärder såsom standardavtalsklausuler.

Rättigheter som registrerade har enligt GDPR

Företag måste tillgodose de registrerades rättigheter och därför behöver man ha lämpliga tekniska och organisatoriska åtgärder för att kunna göra det. Rättigheterna enligt GDPR är, rätt till information, tillgång, rättelse, radering, begränsning av behandling, dataportabilitet, automatiserade beslut och rätt att göra invändningar.

Ett företag fick en reprimand eftersom företaget bland annat inte hade gjort en rättelse som en klagande begärt utan onödigt dröjsmål. Dessutom hade företaget inte gett en registrerad tillgång till de personuppgifter som företaget behandlat efter förfrågan. Med andra ord inte bekräftat för personen om företaget behandlar personuppgifter om denne.

Onlinetjänster

Det är vanligt med onlinetjänster såsom sociala medier och företag som bedriver tjänsterna brukar behandla personuppgifter. Dessutom är det vanligt att barn använder sådana tjänster. Det är tillåtet att behandla personuppgifter från barn. Däremot är det viktigt att tänka på att reglerna är striktare än om den registrerade är vuxen.

Ett internationellt företag som bedriver en mobilapplikation fick betala en sanktionsavgift för bland annat att informationen om behandlingen var på engelska. Mobilapplikationen har många barn som användare och språket var på engelska istället för det officiella språket i landet, alltså holländska. Det var dataskyddsmyndigheten i Holland som utfärdade sanktionsavgiften. Det är viktigt att tänka på att onlinetjänster som riktar sig till barn har ett enkelt och tydligt språk när de informerar de registrerade och ska bland annat vara på det nationella språket. Alltså på svenska om det är i Sverige.

Vi skriver och granskar avtal till fasta priser

BESTÄLL AVTAL / KONTAKTA OSS

Vi besvarar meddelandet och kontaktar dig så snart vi kan.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_5DK075ZHWL	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_4	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.