Dataskyddsförordningen (GDPR)
Dataskyddsförordningen (GDPR) är en EU-förordning som trädde i kraft den 25 maj 2018. Den syftar till att stärka skyddet för enskilda personer vid behandling av personuppgifter och harmonisera lagstiftningen inom EU.
Grundläggande principer
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet
Dessa principer utgör grunden för all personuppgiftsbehandling enligt GDPR och måste alltid följas.
Rättigheter för registrerade
GDPR ger individer stärkta rättigheter gällande sina personuppgifter:
- Rätt till information
- Rätt till tillgång
- Rätt till rättelse
- Rätt till radering ("rätten att bli bortglömd")
- Rätt till begränsning av behandling
- Rätt till dataportabilitet
- Rätt att göra invändningar
- Rättigheter vid automatiserat beslutsfattande och profilering
Personuppgiftsansvariges skyldigheter
Organisationer som behandlar personuppgifter har flera skyldigheter enligt GDPR:
- Implementera lämpliga tekniska och organisatoriska åtgärder
- Föra register över behandlingsaktiviteter
- Utföra konsekvensbedömningar vid högriskbehandlingar
- Utse ett dataskyddsombud när det krävs
- Anmäla personuppgiftsincidenter
- Säkerställa inbyggt dataskydd och dataskydd som standard
Överföring av personuppgifter till tredjeland
GDPR reglerar överföring av personuppgifter till länder utanför EU/EES:
- Överföring baserad på ett beslut om adekvat skyddsnivå
- Överföring som omfattas av lämpliga skyddsåtgärder
- Bindande företagsbestämmelser
- Undantag för särskilda situationer
Det är viktigt att notera att USA inte längre anses ha en adekvat skyddsnivå efter Schrems II-domen.
Sanktioner och tillsyn
Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet för GDPR i Sverige. Vid överträdelser kan följande sanktioner utdömas:
- Varningar och reprimander
- Förelägganden och förbud
- Administrativa sanktionsavgifter upp till 20 miljoner euro eller 4% av den globala årsomsättningen
Implementering i Sverige
I Sverige kompletteras GDPR av dataskyddslagen (2018:218) och dataskyddsförordningen (2018:219). Dessa nationella bestämmelser preciserar och anpassar GDPR:s regler till svenska förhållanden.
Särskilda registerförfattningar kan också gälla för specifika sektorer eller verksamheter, såsom hälso- och sjukvården eller rättsväsendet.
Framtida utveckling
GDPR är under kontinuerlig utvärdering och utveckling:
- Pågående diskussioner om en e-integritetsförordning
- Utvärdering av GDPR:s effektivitet och eventuella behov av justeringar
- Utveckling av praxis genom domstolsbeslut och vägledningar från Europeiska dataskyddsstyrelsen
Organisationer bör hålla sig uppdaterade om dessa utvecklingar för att säkerställa fortsatt efterlevnad.
Lär dig mer
För att fördjupa dig ytterligare i GDPR, rekommenderar vi följande resurser: