GDPR
GDPR är EU:s allmänna dataskyddsförordning
General Data Protection Regulation (GDPR) är EU:s allmänna dataskyddsförordning som gäller sedan maj 2018. Förordningen är direkt tillämplig inom Europeiska unionen och EES. Varje land kan ta fram en egen lagstiftning som kompletterar GDPR. Den svenska lagen kallas dataskyddslagen och innehåller ett antal kompletterande bestämmelser.
Skydd av personuppgifter
I dagens digitaliserade samhälle finns möjlighet att behandla enorma mängder data. Sådana data kan till exempel vara register med personuppgifter av olika slag. Ett av syftena med GDPR är att skydda enskildas grundläggande rättigheter och friheter, särskilt rätten till skydd av personuppgifter. GDPR reglerar hur personuppgifter får behandlas. Personuppgifter kan vara känsliga att dela med sig av.
Vad är personuppgifter?
Personuppgifter kan vara av många olika slag. GDPR gäller all information som direkt eller indirekt kan identifiera en person. Grundläggande personuppgifter är till exempel namn, adress, telefonnummer och mailadress. Det kan också vara bilregistreringsnummer, IP-adress, hälsodata, foto, beteende på nätet som tidigare köp etcetera. GDPR omfattar också löpande text på internet och ljud- och bildupptagningar. GDPR gäller för personuppgifter i datorer, på papper, i e-post, på USB-minnen, externa hårddiskar och liknande lagringsmedium.
Vad är behandla?
Begreppet ”behandla” omfattar till exempel insamling, registrering, lagring, bearbetning, spridning, radering med mera. Varje organisation som behandlar personuppgifter måste se till att uppgifterna de använder uppfyller kraven i GDPR.
Två viktiga begrepp
Alla organisationer och verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen, GDPR. Det innebär bland annat att man måste följa de grundläggande principerna. Man måste också se till att behandlingen har en rättslig grund och informera de registrerade om hur man hanterar deras personuppgifter.
Grundläggande principer
Dessa sju principer är själva kärnan i GDPR. Principerna gäller för all personuppgiftsbehandling och sätter de yttersta ramarna för vad som är en tillåten behandling. Dessa principer måste alltid beaktas och tillämpas när man behandlar personuppgifter.
Här är de sju grundläggande principerna med korta förklaringar:
1. Laglighet, korrekthet och öppenhet
Man måste ha stöd i dataskyddsförordningen för att behandla personuppgifter.
2. Ändamålsbegränsning
Man får bara samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål.
3. Uppgiftsminimering
Man får inte behandla fler personuppgifter än vad som behövs för ändamålet.
4. Riktighet
Man måste se till att personuppgifterna är riktiga.
5. Lagringsminimering
Man ska radera personuppgifterna när de inte längre behövs.
6. Integritet och konfidentialitet
Man ska skydda personuppgifterna så att obehöriga inte får tillgång till dem och så att de inte förloras eller förstörs.
7.Ansvarsskyldighet
Man ska kunna visa att man lever upp till dataskyddsförordningen och hur man gör det.
Rättsliga grunder
Personuppgifter får endast behandlas om det har ett tydligt redovisat syfte enligt minst en av dessa sex rättsliga grunder:
1. Samtycke
Den registrerade har sagt ja.
2. Avtal
Den registrerade har ett avtal med den personuppgiftsansvariga.
3. Rättslig förpliktelse
Det finns lagar eller regler som gör att personuppgifter måste behandlas i verksamheten.
4. Intresseavvägning
Om det finns intressen som väger tyngre än den registrerades.
5. Myndighetsutövning och uppgift av allmänt intresse
Behandlingen är nödvändig för att utföra myndighetsuppgifter eller uppgifter av allmänt intresse.
6. Grundläggande intresse
Personuppgifter måste kunna behandlas utan den registrerades samtycke, till exempel för att rädda liv inom vården.
Var kan jag få hjälp?
Ytterligare information, svar på frågor och hjälp kan man få från
Integrationsskyddsmyndigheten (IMY)
Webbsida: www.imy.se