PageHeaderPortlet PageHeaderPortlet

TextPortlet TextPortlet

Vad är dataskyddsförordningen? Frågor och svar

Vad är dataskyddsförordningen?
Det är en EU-förordning som gäller från den 25 maj 2018. Den nya lagen ersätter personuppgiftslagen, PuL, och gäller direkt som lag i Sverige. Syftet är att enskilda ska få större kontroll över sina personuppgifter. Företag, organisationer och myndigheter får bara ett enda regelverk att förhålla sig till när de verkar i flera EU-länder.
Dataskyddsförordningen handlar framförallt om hur och när personuppgifter får hanteras, vilka krav som ställs på den som ansvarar för personuppgifter det vill säga personuppgiftsansvarig samt vilka krav som ställs på den som hanterar personuppgifter för annans räkning, personuppgiftsbiträdet.

 

Vad händer med vår nationella lagstiftning?
Personuppgiftslagen och dess förordning samt Datainspektionens föreskrifter upphävs. Behovet av eventuella nationella kompletterande bestämmelser utreds. De första förslagen kom i juni 2017 och är nu ute på remiss.

 

Vilka är de viktiga förändringarna?
Den personuppgiftsansvariges ansvar har förtydligats. Personuppgiftsbiträdet får ett eget ansvar att följa förordningen. Personuppgiftsombud ändras till dataskyddsombud och får en starkare ställning. Personuppgiftsansvarig som inte följer förordningen riskerar sanktionsavgifter (en sorts böter). Innan man gör en ny behandling av uppgifter ska man göra en konsekvensbedömning för att se om det finns särskilda risker och hur dessa ska åtgärdas om det behövs. Personuppgiftsincidenter ska anmälas inom 72 timmar.

Den registrerades rättigheter och skyddet för personuppgifter stärks. Den enskilde ska få mer och lättförståelig information om hur personuppgifter behandlas. Det ska gå att visa och bevisa att samtycke har lämnats när insamling av uppgifter bygger på just samtycke. Vidare ska den enskilde kunna bli glömd och få information raderad. Kraven på säkerhetsåtgärder för att skydda uppgifterna blir tydligare, reglerna vid tredjelandsöverföring blir hårdare och kraven på ansvar utökas.

 

Gäller dataskyddsförordningen för mig?
Dataskyddsförordningen gäller för alla som behandlar personuppgifter, alltså både för den organisation som är Personuppgiftsansvarig och för den som behandlar personuppgifter för någon annans räkning, det vill säga den som är Personuppgiftsbiträde.

Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i företag, i föreningar, inom myndigheter och av privatpersoner.

 

Vilken behandling av personuppgifter är undantagen den nya förordningen?
Sådan personuppgiftsbehandling som en privatperson gör enbart för rent personligt bruk, behandling i en verksamhet som inte omfattas av EU-rätten, till exempel försvar och nationell säkerhet, samt behandling i brottsbekämpande verksamhet som inom polisen.

 

Gäller dataskyddsförordningen för Uppsala universitet och andra myndigheter?
Dataskyddsförordningen gäller i stort sett alla myndigheter. Undantagna är Polisen, säkerhets- och underrättelsetjänsten samt andra myndigheter om uppgifterna ingår i brottsbekämpande verksamhet.

 

Vilka inom Uppsala universitet bör känna till reglerna i dataskyddsförordningen?
De högsta beslutsfattarna och alla personer som behandlar personuppgifter inom universitetet bör känna till dataskyddsförordningen. Framförallt bör alla informera sig om vilka krav som dataskyddsförordningen ställer på organisationen och vilka konsekvenser det kan bli av att inte följa lagen.

 

Vad menas med personuppgifter?
All information som direkt eller indirekt går att koppla till en enskild individ som är i livet är personuppgifter. En direkt personuppgift är namn, adress och andra kontaktuppgifter, bilder och ljudupptagningar, IP-nummer, anställningsnummer och registreringsnummer.

En indirekt personuppgift är något som inte kan knytas till en enskild person direkt, men som ändå berättar något om person. Exempelvis kan en uppgift om en avliden persons etniska tillhörighet räknas som en personuppgift som handlar om en annan levande person om de delar ett ovanligt efternamn.

 

Vilka rättigheter har en enskild, en registrerad, enligt dataskyddsförordningen?
De viktigaste rättigheterna för den som är registrerad att personen har rätt till information om behandlingen, rätt att få tillgång till sina personuppgifter, rätt att få felaktiga uppgifter rättade, rätt att få sina personuppgifter raderade, rätt att invända mot att personuppgifterna används, rätt till begränsning av behandling, rätt att få ut personuppgifter i maskinläsbart format (dataportabilitet) med mera.

 

Vilken information har de som är registrerade i våra system rätt att få?
De registrerade har rätt att bli informerade om att de är registrerade, vilket syfte eller vilken rättslig grund som finns för registreringen, hur länge personuppgifterna lagras och att det går att lämna klagomål till Datainspektionen.

 

Vad är en personuppgiftsincident och vad behöver jag som personuppgiftsbehandlare göra om en sådan incident inträffar?
En personuppgiftsincident är en säkerhetsincident som innebär att personuppgifter förstörs oavsiktligt eller olagligt, att uppgifterna går förlorade eller ändras, att uppgifterna röjs, att någon obehörig kommer över uppgifterna etc. Om incidenten kan leda till att de som är registrerade utsätts för allvarliga risker, måste Datainspektionen underrättas inom 72 timmar från upptäckten. I vissa fall måste även de registrerade underrättas om riskerna. I samband med att en personuppgiftsincident inträffar i en organisation, kan Datainspektionen göra en tillsyn av verksamheten. I det läget är det viktigt att ha dokumentation.

 

Vilka dokumentationskrav ställer dataskyddsförordningen?Dataskyddsförordningen ställer höga krav på dokumentation som visar och bevisar att lagen följs. Det som är viktigast att dokumentera är inventering av system eller processer, klassning av uppgifternas känslighet, vilken laglig grund behandlingen eller lagring stödjer sig på och rapportvägar för att hantera dataintrång och andra personuppgiftsincidenter. Finns det känsliga personuppgifter krävs konsekvensbeskrivningar. Det behövs också rutinbeskrivningar för teknisk och administrativ personal.


Vad är laglig behandling av personuppgifter enligt dataskyddsförordningen?
En laglig behandling av personuppgifter är om det finns ett giltigt samtycke till behandlingen eller om behandlingen är nödvändig för att fullfölja ett avtal eller en rättslig förpliktelse. Det är också lagligt om behandlingen behövs för att utföra en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning.