PageHeaderPortlet PageHeaderPortlet

TextPortlet TextPortlet

Vad är dataskyddsförordningen? Frågor och svar

Här kommer några nya frågor och svar!


Behöver vi inhämta nya samtycken från de personer som vi har uppgifter om?
Dataskyddsförordningen innehåller en del skärpta krav på ett samtycke jämfört med personuppgiftslagen. Till exempel måste den personuppgiftsansvarige kunna visa att man verkligen har fått den registrerades samtycke. Har man inte dokumenterat samtycket eller utgått ifrån att den registrerade samtyckt utan att han eller hon aktivt har uttryckt detta på något sätt, måste ett nytt samtycke inhämtas.

Nytt i förordningen är även kravet på information om att man när som helst ska kunna återkalla sitt samtycke liksom kravet på samtycke från vårdnadshavare när det gäller personuppgifter som rör barn.

Om tidigare inhämtade samtycken lever upp till kraven i dataskyddsförordningen behöver man inte inhämta nya samtycken.  


Vilka är principerna för behandling av personuppgifter?
All behandling av personuppgifter måste uppfylla de s.k. grundläggande principer som anges i dataskyddsförordningen. Universitetet ansvarar för och måste kunna visa att man följer bestämmelserna.

För den som behandlar personuppgifter innebär det:

  • Bestäm ändamålet och håll dig till det
  • Samla bara in uppgifter som behövs
  • Samla inte in fler uppgifter än nödvändigt
  • Använd inte uppgifter till ett annat oförenligt ändamål
  • Radera uppgifterna när de inte längre behövs
  • Se till att uppgifterna är korrekta och uppdaterade
  • Skydda insamlade uppgifter
  • Identifiera rättslig grund för behandling innan den påbörjas
  • Informera på ett öppet och ärligt sätt

 
Vad menas med dataportabilitet?
Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om

  • uppgiften har tillhandahållits av den registrerade
  • behandlingen sker med samtycke eller avtal
  • behandlingen sker automatiserat
  • detta inte påverkar andras rättigheter och friheter

 Dataportabilitet gäller inte vid allmänt intresse eller myndighetsutövning.

 
Blir den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde solidariskt skadeståndsansvariga?
Huvudregeln är att det är den personuppgiftsansvarige som är skadeståndsansvarig när ens skada uppstår för att personuppgifter har behandlats i strid med förordningen.

Ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter som inte följer den ansvariges instruktioner.

Den som har lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.


Dataskyddsombud

Blir det obligatoriskt att ha ett dataskyddsombud?
Ja, i en del fall. Enligt dataskyddsförordningen måste vissa organisationer, exempelvis myndigheter, utse ett dataskyddsombud. Uppsala universitet måste alltså ha ett dataskyddsombud.


Vem kan utses till dataskyddsombud?
Ett dataskyddsombud kan vara anställd inom den personuppgiftsansvariges eller personuppgiftsbiträdets egen organisation, det vill säga Uppsala universitet. Det är också möjligt att anlita någon utanför organisationen.

Som externt dataskyddsombud kan man anlita såväl en individ som en organisation. Om en extern organisation anlitas som dataskyddsombud bör där utses en kontaktperson gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. En kontaktperson bör även utses om fler än ett dataskyddsombud inom organisationen utses. Skälet till detta är dataskyddsombudets funktion som kontaktpunkt för såväl de registrerade internt inom organisationen som gentemot Datainspektionen. Det ska alltså framgå klart och tydligt vem som ska kontaktas.


Vilka kvalifikationer ska ett dataskyddsombud ha?
Ombudet ska utses på grundval av sina yrkesmässiga kvalifikationer och särskilt ha kunskaper i lagstiftning och praxis kring dataskydd.

Oavsett om ett externt eller internt dataskyddsombud utses måste ombudet uppfylla de krav som ställs upp på dataskyddsombudet enligt dataskyddsförordningen. Det gäller även när ett dataskyddsombud utses på frivillig väg.

Dataskyddsombudets sakkunskap och förmåga bör inkludera:

  • sakkunskaper om nationell och europeisk dataskyddslagstiftning och rättspraxis, inklusive fördjupad förståelse för dataskyddsförordningen
  • förståelse för den personuppgiftsbehandling som utförs inom verksamheten
  • förståelse för IT och datasäkerhet
  • kunskaper om affärsområdet och verksamheten som bedrivs
  • förmåga att främja en dataskyddskultur inom organisationen


Vad gäller för ett dataskyddsombud?
Dataskyddsombudet ska involveras i god tid i alla frågor som rör skydd för personuppgifter och ska ges nödvändiga resurser för att utföra sina arbetsuppgifter.

Dataskyddsombudet ska rapportera direkt till högsta ledningen.

Dataskyddsombudet har aldrig något ansvar för att dataskyddsförordningen och andra regler följs – detta ansvar ligger alltid på den organisation som är personuppgiftsansvarig eller personuppgiftsbiträde, i det här fallet Uppsala universitet.


Vilka är Uppsala universitets dataskyddsombuds uppgifter? (Notera att universitetet ännu inte har utsett dataskyddsombud.)

Dataskyddsombudet ska:

  • informera och ge råd inom universitetet om vilka skyldigheter som gäller enligt dataskyddsförordningen och annan dataskyddslagstiftning
  • övervaka att reglerna i dataskyddsförordningen och annan dataskyddslagstiftning följs samt se till att universitetets strategi för skydd av personuppgifter efterlevs, bland annat genom utbildning och intern granskning
  • kunna ge råd om den konsekvensbedömning om dataskydd som kan behöva göras och övervaka genomförandet av den
  • fungera som kontaktpunkt för tillsynsmyndigheten, till exempel vid förhandssamråd, och även i övrigt samarbeta med tillsynsmyndigheten
  • fungera som kontaktpunkt för de registrerade


Frågor och svar sedan tidigare


Vad är dataskyddsförordningen?
Det är en EU-förordning som gäller från den 25 maj 2018. Den nya lagen ersätter personuppgiftslagen, PuL, och gäller direkt som lag i Sverige. Syftet är att enskilda ska få större kontroll över sina personuppgifter. Företag, organisationer och myndigheter får bara ett enda regelverk att förhålla sig till när de verkar i flera EU-länder.
Dataskyddsförordningen handlar framförallt om hur och när personuppgifter får hanteras, vilka krav som ställs på den som ansvarar för personuppgifter det vill säga personuppgiftsansvarig samt vilka krav som ställs på den som hanterar personuppgifter för annans räkning, personuppgiftsbiträdet.

 

Vad händer med vår nationella lagstiftning?
Personuppgiftslagen och dess förordning samt Datainspektionens föreskrifter upphävs. Behovet av eventuella nationella kompletterande bestämmelser utreds. De första förslagen kom i juni 2017 och är nu ute på remiss.

 

Vilka är de viktiga förändringarna?
Den personuppgiftsansvariges ansvar har förtydligats. Personuppgiftsbiträdet får ett eget ansvar att följa förordningen. Personuppgiftsombud ändras till dataskyddsombud och får en starkare ställning. Personuppgiftsansvarig som inte följer förordningen riskerar sanktionsavgifter (en sorts böter). Innan man gör en ny behandling av uppgifter ska man göra en konsekvensbedömning för att se om det finns särskilda risker och hur dessa ska åtgärdas om det behövs. Personuppgiftsincidenter ska anmälas inom 72 timmar.

Den registrerades rättigheter och skyddet för personuppgifter stärks. Den enskilde ska få mer och lättförståelig information om hur personuppgifter behandlas. Det ska gå att visa och bevisa att samtycke har lämnats när insamling av uppgifter bygger på just samtycke. Vidare ska den enskilde kunna bli glömd och få information raderad. Kraven på säkerhetsåtgärder för att skydda uppgifterna blir tydligare, reglerna vid tredjelandsöverföring blir hårdare och kraven på ansvar utökas.

 

Gäller dataskyddsförordningen för mig?
Dataskyddsförordningen gäller för alla som behandlar personuppgifter, alltså både för den organisation som är Personuppgiftsansvarig och för den som behandlar personuppgifter för någon annans räkning, det vill säga den som är Personuppgiftsbiträde.

Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i företag, i föreningar, inom myndigheter och av privatpersoner.

 

Vilken behandling av personuppgifter är undantagen den nya förordningen?
Sådan personuppgiftsbehandling som en privatperson gör enbart för rent personligt bruk, behandling i en verksamhet som inte omfattas av EU-rätten, till exempel försvar och nationell säkerhet, samt behandling i brottsbekämpande verksamhet som inom polisen.

 

Gäller dataskyddsförordningen för Uppsala universitet och andra myndigheter?
Dataskyddsförordningen gäller i stort sett alla myndigheter. Undantagna är Polisen, säkerhets- och underrättelsetjänsten samt andra myndigheter om uppgifterna ingår i brottsbekämpande verksamhet.

 

Vilka inom Uppsala universitet bör känna till reglerna i dataskyddsförordningen?
De högsta beslutsfattarna och alla personer som behandlar personuppgifter inom universitetet bör känna till dataskyddsförordningen. Framförallt bör alla informera sig om vilka krav som dataskyddsförordningen ställer på organisationen och vilka konsekvenser det kan bli av att inte följa lagen.

 

Vad menas med personuppgifter?
All information som direkt eller indirekt går att koppla till en enskild individ som är i livet är personuppgifter. En direkt personuppgift är namn, adress och andra kontaktuppgifter, bilder och ljudupptagningar, IP-nummer, anställningsnummer och registreringsnummer.

En indirekt personuppgift är något som inte kan knytas till en enskild person direkt, men som ändå berättar något om person. Exempelvis kan en uppgift om en avliden persons etniska tillhörighet räknas som en personuppgift som handlar om en annan levande person om de delar ett ovanligt efternamn.

 

Vilka rättigheter har en enskild, en registrerad, enligt dataskyddsförordningen?
De viktigaste rättigheterna för den som är registrerad att personen har rätt till information om behandlingen, rätt att få tillgång till sina personuppgifter, rätt att få felaktiga uppgifter rättade, rätt att få sina personuppgifter raderade, rätt att invända mot att personuppgifterna används, rätt till begränsning av behandling, rätt att få ut personuppgifter i maskinläsbart format (dataportabilitet) med mera.

 

Vilken information har de som är registrerade i våra system rätt att få?
De registrerade har rätt att bli informerade om att de är registrerade, vilket syfte eller vilken rättslig grund som finns för registreringen, hur länge personuppgifterna lagras och att det går att lämna klagomål till Datainspektionen.

 

Vad är en personuppgiftsincident och vad behöver jag som personuppgiftsbehandlare göra om en sådan incident inträffar?
En personuppgiftsincident är en säkerhetsincident som innebär att personuppgifter förstörs oavsiktligt eller olagligt, att uppgifterna går förlorade eller ändras, att uppgifterna röjs, att någon obehörig kommer över uppgifterna etc. Om incidenten kan leda till att de som är registrerade utsätts för allvarliga risker, måste Datainspektionen underrättas inom 72 timmar från upptäckten. I vissa fall måste även de registrerade underrättas om riskerna. I samband med att en personuppgiftsincident inträffar i en organisation, kan Datainspektionen göra en tillsyn av verksamheten. I det läget är det viktigt att ha dokumentation.

 

Vilka dokumentationskrav ställer dataskyddsförordningen?Dataskyddsförordningen ställer höga krav på dokumentation som visar och bevisar att lagen följs. Det som är viktigast att dokumentera är inventering av system eller processer, klassning av uppgifternas känslighet, vilken laglig grund behandlingen eller lagring stödjer sig på och rapportvägar för att hantera dataintrång och andra personuppgiftsincidenter. Finns det känsliga personuppgifter krävs konsekvensbeskrivningar. Det behövs också rutinbeskrivningar för teknisk och administrativ personal.


Vad är laglig behandling av personuppgifter enligt dataskyddsförordningen?
En laglig behandling av personuppgifter är om det finns ett giltigt samtycke till behandlingen eller om behandlingen är nödvändig för att fullfölja ett avtal eller en rättslig förpliktelse. Det är också lagligt om behandlingen behövs för att utföra en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning.