Dataskydd och integritet
Vi biträder inom alla aspekter av dataskyddsområdet och har lång erfarenhet av komplexa frågeställningar kring personuppgifter och integritet, och då särskilt i förhållande till dataskyddsförordningen, GDPR.
I en växande digitaliserad värld, där personuppgifter är bland de mest värdefulla tillgångarna, är behovet av rådgivning allt viktigare. Med lång och praktisk erfarenhet inom dataskyddsfrågor tillhandahåller vi rådgivning på högsta nivå.
Dataskydd och integritet kan handla om:
- Dataskyddsförordningen/GDPR
- Patientdatalagen
- Datadelningsavtal
- AI och automatiserat beslutsfattande
- Integritetspolicy
- Kamerabevakning
- Personuppgiftsbiträdesavtal
- Privacy by design / Inbyggt dataskydd
- Rådgivning om cookies och webbdata
Vanliga frågor och svar inom Dataskydd och integritet
GDPR är en förordning från EU avseende dataskydd och som gäller direkt som lag i medlemsländerna. Förkortningen står för General Data Protection Regulation och den trädde i kraft den 25 maj 2018. GDPR har till syfte att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. GDPR reglerar för när och under vilka förutsättningar personuppgifter får samlas in, behandlas, lagras och överföras av organisationer av alla slag. Omfattar inte privat behandling av personuppgifter och kompletteras av svensk lagstiftning, exempelvis Dataskyddslagen.
All slags information som kan knytas till en fysisk person som är i livet.
Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter, hälsouppgifter och sexualliv eller sexuell läggning.
Fysisk eller juridisk person som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till.
Fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning, utanför personuppgiftsansvariges organisation.
En åtgärd eller kombination av åtgärder beträffande personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, lagring, bearbetning, överföring, radering m.m.
En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Avser de personer som personuppgifter berör och som behandlas.
Är som huvudregel när personuppgifter görs tillgängliga för någon i ett land utanför EU/EES-området.
En oberoende offentlig myndighet som är utsedd av en medlemsstat. I Sverige är tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY).
Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som den registrerade.
Samtlig behandling av personuppgifter måste följa de grundläggande principerna som anges i dataskyddsförordningen. Nedan är en genomgång i korthet över dessa grundläggande principer.
- Laglighet, korrekthet och öppenhet. Varje behandling av personuppgifter ska ske med laglig grund och i övrigt följa dataskyddslagstiftningens krav. Behandlingen av personuppgifter ska vara rimlig, rättvis och proportionerlig i förhållande till den registrerade. Behandlingen ska ske öppet i förhållande till de registrerade och de registrerade ska informeras.
- Ändamålsbegränsning. Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål.
- Uppgiftsminimering. Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet.
- Riktighet. Personuppgifter ska vara riktiga och uppdaterade.
- Lagringsminimering. Uppgifter får bara sparas så länge som de behövs för ändamålet med personuppgiftsbehandlingen.
- Integritet och konfidentialitet. Personuppgifter ska skyddas på ett bra sätt genom lämpliga säkerhetsåtgärder.
- Ansvarsskyldighet. Personuppgiftsansvarig ansvarar för att följa de grundläggande principerna om personuppgiftsbehandling och ska kunna visa på vilket sätt de efterlevs.
GDPR ställer mycket höga krav på välorganiserat dataskydds- och informationssäkerhetsarbete hos såväl personuppgiftsansvariga som personuppgiftsbiträden. Övertramp kan innebära avsevärda sanktionsavgifter för en organisation. Sanktionsavgifter kan uppgå till 20 miljoner euro eller 4 procent av ett företags globala omsättning. Myndigheter kan få betala sanktionsavgifter på upp till 10 miljoner kronor. Vid bedömningen tas många omständigheter i beaktande av IMY. Övertramp kan även innebära skadestånd till den registrerade. Här föreligger det ett strikt skadeståndsansvar och en omvänd bevisbörda.
Registrerade har följande rättigheter:
- Rätt till tillgång – en rätt att få bekräftelse på och information om sin personuppgiftsbehandling.
- Rätten till rättelse och radering och att få behandlingen begränsad eller göra invändningar – en registrerad person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser hen rättas för det fall de är felaktiga eller raderas, eller att fortsatt behandling begränsas. En registrerad har även rätt att invända mot en behandling. Begäran kan nekas under vissa förutsättningar.
- Rätt till dataportabilitet – en rätt att kräva att personuppgifter flyttas från en personuppgiftsansvarig till annan om det är tekniskt möjligt. Denna rättighet är begränsad till personuppgifter som den personuppgiftsansvarig själv tillhandahållit till den personuppgiftsansvarige.
- Rätten till att inte bli föremål för automatiserat beslutsfattande.
- Rätten att inge klagomål till IMY.
GDPR innehåller tvingande reglering om anmälan av personuppgiftsincidenter till IMY. Personuppgiftsansvarig ska inom 72 timmar från att incidenten upptäcks göra en anmälan till IMY. Personuppgiftsbiträdet ska vid en personuppgiftsincident rapportera till personuppgiftsansvarig, vilket normalt regleras i ett personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträdet. Viktigt är att säkerställa att det finns kunskap om vad som utgör incidenter och hur de ska rapporteras hos personuppgiftsansvarig och personuppgiftsbiträdet.
I vissa fall måste även personuppgiftsansvarig informera den registrerade. Detta gäller när personuppgiftsincident kan innebära risker för människors friheter och rättigheter. Typiskt sett föreligger det då brister i tillgänglighet, riktighet eller konfidentialitet, vilket kan leda till diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning, finansiell förlust, brott mot sekretess eller tystnadsplikt.
Exempel på personuppgiftsincidenter är:
- Någon obehörig part har fått tillgång till personuppgifterna, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
- Datorer som innehåller personuppgifter har förlorats eller stulits.
- Någon har ändrat personuppgifter utan tillstånd.
- Personuppgifterna är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.
Personuppgiftsansvarig är den som bestämmer ändamål och medel för behandlingen av personuppgifter. Personuppgiftsansvarig ska säkerställa att dataskyddslagstiftningen efterlevs i alla delar. Ansvarar således för ändamål, laglig grund, information till registrerade, uppfyllande av registrerades rättigheter m.m.
Personuppgiftsbiträde behandlar uppgifter på uppdrag och instruktion av personuppgiftsansvarig. Personuppgiftsbiträde är utanför personuppgiftsansvarigas organisation och har inget eget ändamål med behandlingen. Ska arbeta självständigt med tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Ska bistå personuppgiftsansvarig med allehanda kring uppgifterna, exempelvis information kring incidenter, information som behövs för konsekvensbedömningar och liknande.
Ansvaret för personuppgifter bör regleras så snart ett huvudavtal mellan två parter innebär behandling av personuppgifter. Om var och en av parterna är personuppgiftsansvariga bör ett avsnitt om detta och reglering för ansvaret för personuppgifter tas med i huvudavtalet. Om parterna har ett gemensamt personuppgiftsansvar ska detta dokumenteras ”under öppna former” för att fastställa respektive ansvar – bland annat ansvaret att informera de registrerade. Detta kan exempelvis göras i ett separat avtal mellan parterna.
Om det är ett PUA-PUB förhållande krävs personuppgiftsbiträdesavtal (PUB-avtal). Vad ett PUB-avtal minimum ska innehåll regleras i artikel 28 GDPR. Ett PUB-avtal bör dock även reglera annat, såsom ersättning och ansvar. Personuppgiftsansvarig är även skyldig att upprätta en instruktion till personuppgiftsbiträdet som tar sikte på den specifika behandlingen.
Genom huvudavtalet mellan parterna, PUB-avtalet och instruktion ska det gå att utläsa varför och hur personuppgifterna får behandlas. All behandling som går utanför instruktionen innebär att personuppgiftsbiträdet blir personuppgiftsansvarig i dessa delar. PUB-avtal kan vara kostnadsdrivande – så behandla inte dina PUB-avtal styvmoderligt.
Agerar din organisation som personuppgiftsansvarig eller som personuppgiftsbiträde?
Om din organisation agerar som personuppgiftsbiträde:
- Har ni tydliga instruktioner från personuppgiftsansvarig kring hur ni får behandla personuppgifterna?
- Lever ni upp till kraven i biträdesavtalet – såväl tekniskt som organisatoriskt?
- Är er registerförteckning uppdaterad (om ni är skyldiga att föra sådan förteckning)?
Om din organisation agerar som personuppgiftsansvarig:
- Har ni ett klart ändamål och laglig grund för behandling av personuppgifter?
- Informerar ni de registrerade om behandlingen av deras personuppgifter?
- Om nödvändigt, har ni gjort en riskanalys och i förekommande fall konsekvensbedömning avseende behandlingen av personuppgifter?
- Har ni säkerställt att ni bara samlar in uppgifter som är nödvändiga i förhållande till ändamålet?
- Har ni säkerställt att ni inte lagrar uppgifter längre än nödvändigt?
- Är er registerförteckning uppdaterad (om ni är skyldiga att föra sådan förteckning)?
- Har ni skrivit PUB-avtal med eventuella personuppgiftsbiträden?
Vill du bli kontaktad av våra experter inom Dataskydd och integritet?