Ni har nog märkt hur flera sociala medier och andra företag den senaste tiden har skickat ut mejl med uppdaterade användarvillkor? Detta beror på att personuppgiftslagen den 25 maj ersätts med den nya dataskyddsförordningen (GDPR). Juristresursen har samlat information om hur du påverkas av GDPR i egenskap av privatperson eller företagare nedan.

Varför dataskydd?

Regler om dataskydd styr hur personuppgifter får hanteras och har till syfte att skydda den personliga integriteten.

Vad räknas som en personuppgift?

Det avgörande är att uppgiften kan knytas till en levande person. Det kan exempelvis röra sig om klassiska personuppgifter såsom namn, adress och personnummer, men även IP-nummer omfattas så länge numret kan kopplas till en person.

Krav för att få samla in personuppgifter:

1. Rättslig grund

Det kan exempelvis vara ett avtal, en rättslig förpliktelse t.ex. bokföringsskyldighet eller samtycke. Vid samtycke krävs att personen får tydlig information om vilka uppgifter som samlas in och hur de ska användas innan personen ger sitt samtycke genom att exempelvis kryssa i en ruta. Viktigt att komma ihåg är att ett samtycke aldrig är absolut utan kan återkallas. Rättslig grund kan även stödjas på en intresseavvägning under förutsättning att det inte rör sig om känsliga personuppgifter samt att behandlingen av uppgiften väger tyngre än den registrerades integritet.

2. Syfte

En annan viktig regel är att uppgifter enbart får samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål”. Det innebär att man inte kan använda personuppgifterna för något annat syfte än det personen har blivit informerad om att personuppgifterna ska användas till. Här ingår även att personuppgifterna inte heller får sparas längre än nödvändigt.

Viktiga punkter:

  • Informationskrav: Information måste framgå om grunden för behandlingen, hur uppgifterna används, hur länge uppgifterna sparas, tillsammans med kontaktuppgifter till personuppgiftsansvarig samt till Integritetsskyddsmyndigheten (tidigare Datainspektionen).
  • Anmälningskrav: De som hanterar personuppgifter har rapporteringsskyldighet vid dataintrång.
  • Dataportabilitet: De registrerade har rätt att flytta sina personuppgifter mellan aktörer.
  • Rätten att bli bortglömd: De registrerade har rätt att få personuppgifter raderade.
  • ”Privacy by design”: De som hanterar personuppgifter ska använda dataskyddssystem som är designat för att endast samla in nödvändiga personuppgifter, radera uppgiften när behovet upphört och begränsa åtkomsten till de som har yrkesmässig anledning att ta del av uppgifterna.

Sanktioner:

Den som bryter mot GDPR riskerar att betala böter upp till fyra procent av företagets eller moderbolagets globala omsättning, dock högst upp till 20 miljoner euro. Vid eventuellt böter genomförs en rimlighetsbedömning där hänsyn tas till bland annat den utsträckning man har försökt åtgärda brister samt graden av viljan att genomföra förändringar för att förebygga och åtgärda brister. Det innebär att höga sanktioner inte bör aktualiseras så länge man aktivt arbetar med att följa GDPR.