Från den 25 maj 2018 började EU:s nya dataskyddsförordning (GDPR) gälla. Den innebär bl.a. stärkta rättigheter för de registrerade och ett större krav på egenkontroll för de personuppgiftsansvariga. Det här ett stödmaterial med en kort beskrivning av GDPR.

Allmän information om GDPR

Vad är GDPR?

GDPR står för General data protection regulation. Det är EU:s gemensamma nya dataskyddsförordning som gäller i alla medlemsländer från den 25 maj 2018 och ersätter ett direktiv från 1995, samtidigt upphör personuppgiftslagen (PUL).

Vad är syftet med den nya lagstiftningen?

Syftet med den nya lagstiftningen är att skydda enskilda individers personuppgifter när dessa behandlas i förordningens mening. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en enskild individ som är i livet. Ett viktigt syfte med ny lagstiftning är att få till en ökad harmonisering mellan medlemsstaterna. Dataskyddsdirektivet från 1995 utgjorde visserligen en gemensam grund inom unionen, men direktivet skulle implementeras genom nationella lagstiftningar i varje medlemsland, de såg tämligen olika ut i olika länder. Nu gäller samma lagtext i alla medlemsländer.

Trots detta så ger GDPR vissa bemyndiganden för medlemsländerna att i begränsade delar komplettera förordningen med nationell lagstiftning. I Sverige kommer därför dataskyddslagen att gälla från och med den 25 maj 2018. Den speciella registerlagstiftning som tidigare funnits inom olika myndigheters verksamheter (t.ex. inom hälso- och sjukvården och inom socialtjänsten) kommer att få finnas kvar tills vidare, med vissa justeringar. 

Stora delar av lagtexten i förordningen är densamma som i direktivet och PuL. Samtidigt är förordningen mer omfattande.

Vilka är de viktigaste förändringarna?

  • Den svenska missbruksregeln i PuL upphör, vilket innebär att all behandling av personuppgifter i verksamheten, även ostrukturerad behandling måste inordnas under ett behandlingsändamål. Det finns inte längre några ”bra-att-ha uppgifter” utan närmare ändamål. Till exempel kan man inte längre fotografera/filma deltagare på en konferens som ett tyst medgivande, utan det krävs ett uttryckligt samtycke.

  • För de fall den personuppgiftsansvarige har anlitat personuppgiftsbiträden så måste biträdesavtalen ses över och anpassas till förordningen, se artikel 28. 

  • Skyldigheten att lämna en standardiserad information till den registrerade i samband med att uppgifter samlas in har utökats något jämfört med dagens lagstiftning, bl.a. ska den rättsliga grunden för behandlingen kunna anges, se artikel 13-14.

  • Den registrerade har rätt att begära ett så kallat registerutdrag, som tidigare, dock med den skillnaden att begäran ska kunna lämnas elektroniskt och beskedet ska också kunna lämnas elektroniskt. Utdraget ska lämnas kostnadsfritt men vid upprepade förfrågningar kan avgift tas ut, se artikel 15. Om begäran inkommer elektroniskt så måste myndigheten vara säker på identiteten hos den som ber om utdraget, normalt görs det med e-signatur (bankernas e-legitimation eller mobilt bank-id). Myndigheten måste då ha en tjänst där denna kan tas emot och läsas. I annat fall måste identiteten styrkas på annat sätt.

  • En rätt till radering införs men undantagen är många och för myndigheter är huvudregeln att den registrerade inte har rätt att få sina uppgifter raderade.

  • Alla myndigheter och offentliga organ är skyldiga att förordna ett dataskyddsombud, om de ö h t behandlar personuppgifter, om än i blygsam omfattning. Detta gäller även samordningsförbunden.

  • Krav på incidentrapportering införs, alltså när en incident inträffat som innebär olagligt eller brottsligt intrång i system, förlust av uppgifter eller att uppgifter läckt ut eller liknande. En personuppgiftsincident ska rapporteras till Datainspektionen, enligt huvudregeln senast 72 timmar efter det att den personuppgiftsansvarige upptäckt densamma.

  • Överträdelser mot förordningens bestämmelser kan leda till särskilda sanktionsavgifter, både för den personuppgiftsansvarige och för personuppgiftsbiträdet. Dessutom finns skadeståndsbestämmelser.

Publicering av personuppgifter på webbplatsen

Vid publicering av personuppgifter på myndighetens webbplats så måste man ha klart för sig vilken rättslig grund som kan åberopas för att publicera uppgifterna. Ibland krävs samtycke från den enskilde, som alltid måste vara dokumenterat, men ibland kan behandlingen ske med stöd av ett allmänt intresse. T.ex. uppgifter och bilder om personer som representerar verksamhetens ledning, för att presentera myndigheten och dess verksamhet. När behandlingen sker med stöd av samtycke så gäller att samtycket alltid kan tas tillbaka.

Vilka individer omfattas av behandlingen av personuppgifter i samordningsförbund? 

Individer som finns registrerade i t.ex. kundregister, löne- eller personalregister, eller som hanteras i andra sammanhang, det vill säga uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person.

Lagring av personuppgifter kopplade till individärenden i insatser lagras hos respektive myndighet där respektive part är personuppgiftsansvarig. Vad gäller lagring av personuppgifter i det myndighetsgemensamma systemet SUS är Försäkringskassan personuppgiftsansvarig.

Behöver Arbetsförmedlingen, kommunen eller landstinget teckna personuppgiftsbiträdesavtal med Försäkringskassan då de hanterar personuppgifter i SUS?

Nej, parterna lämnar uppgifter med den enskildes samtycke till Försäkringskassan när de registrerar uppgifterna i SUS. Därför behövs inte något personuppgiftsbiträdesavtal.

Vilken information ska den registrerade få om personuppgifter?

Informationen ska innehålla tydlig angivelse av den rättsliga grunden för behandlingen, ändamålet för behandlingen, hur länge uppgifterna kommer att sparas samt information om var den registrerade kan vända sig med klagomål. Informationen ska vidare vara kortfattad och tydlig. 

Vad krävs för att få samtycke?

Vill man behandla uppgifter med stöd av samtycke krävs det att samtycket är en frivillig, specifik och otvetydig viljeyttring. Det går därför inte att använda sig av i förväg ikryssade rutor på webbplatsen. Samtycket ska vara dokumenterat. 

Vad kan hända om man bryter mot den nya lagstiftningen?

Framför allt sanktionsavgifter med höga max belopp, vid överträdelse av förordningen.

Frågor från förbund

Har ett samordningsförbund skyldighet att utse ett dataskyddsombud (DSO)?

SVAR: Ja, när det gäller dataskyddsombuden så är ett samordningsförbund att se som myndighet eller offentligt organ enligt artikel 37 i dataskyddsförordningen. Om samordningsförbundet behandlar personuppgifter för egen räkning så är man skyldig, som alla myndigheter, att utse ett dataskyddsombud från och med den 25 maj 2018. Flera myndigheter kan utse samma person att vara DSO.

Behövs det ett dataskyddsombud inom förbundet även när samordningsförbund behandlar personuppgifter av ringa karaktär?

SVAR: Ja, se ovan.

Samordningsförbundet behandlar inte personuppgifter som kärnverksamhet. Det gör våra medlemsparter – Arbetsförmedlingen, Försäkringskassan, kommun och landsting/region. Behöver samordningsförbundet ändå dataskyddsombud?

SVAR: Ja, se ovan. Personuppgifter som är kopplade till individer i insatser ska inte samordningsförbunden administrera. Dessa uppgifter ska administreras hos respektive medlemspart. Däremot hanterar samordningsförbunden personuppgifter kopplade till förbundet, t.ex. anställda, styrelsemedlemmar etc.

Är samordningsförbund skyldiga att föra register över personuppgiftsbehandlingar?

SVAR: Ja, förteckningsskyldigheten i artikel 30 gäller alla personuppgiftsansvariga. Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Vad som ska finnas med i förteckningen beskrivs i artikel 30 i dataskyddsförordningen. Mer information, mall och checklista för mall hittas på Sveriges Kommuner och Landstings hemsida.

Är finsamlagstiftningen förenlig med personuppgiftslagen och den nya dataskyddsförordningen med avseende på samordningsförbundens uppdrag att svara för uppföljning och utvärdering av rehabiliteringsinsatserna?

SVAR: Dataskyddsförordningen innebär ingen skillnad i bedömningen av vem som är personuppgiftsansvarig och vem som är personuppgiftsbiträde (PuB). Alltså där gäller samma regler som idag.

Behöver samordningsförbund utse personuppgiftsansvarig?

SVAR: Ja, samordningsförbundet är personuppgiftsansvarig. Personuppgiftsansvarig är den som behandlar personuppgifter i sin verksamhet, det vill säga ofta ett företag eller myndighet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. (3 § personuppgiftslagen)

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.

Vad är ett personuppgiftsbiträde? (aktuellt om ditt samordningsförbund överlåter personuppgifter till annan part)

SVAR: Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett biträde kan vara ett företag som levererat en IT-tjänst till myndigheten, t ex leverantör av ett ärendehanteringssystem eller en telefonväxel, i samband med det avtalet ingår också tjänster som drift och support och lagring för köparens räkning, därvid blir leverantören personuppgiftsbiträde och ett särskilt avtal härom ska tecknas. Ett personuppgiftsbiträde är den som på uppdrag av en personuppgiftsansvarig myndighet/företag behandlar personuppgifter för dennes. Om personuppgifter lämnas ut från en myndighet till ett företag men mottagaren ska behandla dessa för egen del i sin verksamhet, ska biträdesavtal inte tecknas.

Vilka uppgifter får personuppgiftsbiträdet behandla?

SVAR: Personuppgiftsbiträdet får bara behandla personuppgifterna enligt givna instruktioner och riktlinjer från den personuppgiftsansvarige/samordningsförbundet. Biträdet bestämmer således inte själv för vilka ändamål personuppgifterna ska behandlas.

Vem har ansvar gentemot de registrerade? 

SVAR: Även om en personuppgiftsansvarig väljer att anlita ett personuppgiftsbiträde är det alltid den personuppgiftsansvarige som har ansvaret gentemot de registrerade. Personuppgiftsansvaret kan inte överlåtas. De personer vars uppgifter behandlas har alltid rätt att vända sig till den personuppgiftsansvarige och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter. 

Förändras personuppgiftsbiträdets roll i och med GDPR:s införande?

SVAR: Den som behandlar personuppgifter för den personuppgiftsansvariges räkning kommer, i likhet med vad som gäller idag, att vara personuppgiftsbiträde. I den nya dataskyddsförordningen förändras dock denna roll. Personuppgiftsbiträdet kommer att få nya skyldigheter och ett betydligt utökat eget ansvar för personuppgiftsbehandlingen. I ett flertal situationer kommer även personuppgiftsbiträden att omfattas av samma skyldigheter som gäller för personuppgiftsansvariga.

Vilka är de viktigaste förändringarna för personuppgiftsbiträden? 

SVAR: Här är några av de viktigaste förändringarna för personuppgiftsbiträden:

  • Föra register

  • Ansvar vid anlitande av ett underbiträde

  • Utse dataskyddsombud

  • Samarbeta med tillsynsmyndigheten

  • Ansvar för att vidta säkerhetsåtgärder

  • Omgående underrätta den personuppgiftsansvarige om personuppgiftsincidenter

  • Bistå den personuppgiftsansvarige

  • Risk för sanktioner

Behövs det alltid ett skriftligt samtycke för hantering av personuppgifter?

SVAR: Personuppgifter får behandlas om man har ett samtycke från den som personuppgifterna avser. I dataskyddsförordningen ställs det särskilda krav på samtycket, bland annat att det ska vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling och att det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen. I vissa fall kan det vara lämpligt att överväga om någon annan rättslig grund är mer passande, till exempel ett avtal med den registrerade. Särskilt höga krav gäller när samtycke avser behandling av känsliga personuppgifter, såsom uppgifter om hälsa och religiös tro.

Hur bör vi gå tillväga när samtycken ska sparas?

SVAR: Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade. Det ska vara dokumenterat.

Behöver samordningsförbundet göra en förteckning av ändamålen med personuppgiftbehandlingar? 

SVAR: Ja, både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen.

Är förteckningen över behandlingar av personuppgifter någonting som ska förvaras intern eller ska man även åskådliggöra behandlingarna offentligt på hemsidan?

SVAR: Förteckningen ska sparas internt och ska på begäran göras tillgängligt för Datainspektionen, se ovan. Förslag på mall hittas på Datainspektionens hemsida Mall

Vi har hämtat informationen från Datainspektionen hemsida och samrått med jurist på SKL.

Här hittar du mer information:

Information om GDPR Datainspektionen

Information om GDPR SKL

Liten ordlista

  • Ansvarsskyldighet: Dataskyddsförordningen ställer stora krav på dokumentation och att man ska kunna visa att man efterlever lagen.

  • Behandling: Allting man gör med personuppgifter, till exempel samlar in, lagrar, ändrar, använder eller observerar, är en personuppgiftsbehandling.

  • Berättigat intresse: En av de sex möjliga grunderna för laglig behandling av personuppgifter. Berättigat intresse ska inte misstas för att vara en sorts ”carte blanche” som ger organisationer möjlighet att fortsätta som tidigare med sin behandling av personuppgifter. En så kallad intresseavvägning måste alltid göras om den här rättsliga grunden ska användas.

  • Dataskydd som standard: Det finns tekniska och organisatoriska krav på att organisationer säkerställer säker hantering av personuppgifter. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet.

  • Dataskyddsombud (DPO): Ny befattning med fler formella krav än personuppgiftslagens personuppgiftsombud, förkortas DPO efter engelskans Data Protection Officer. Många, men inte alla, verksamheter är skyldiga att utse dataskyddsombud och anmäla detta till Datainspektionen innan 25 maj 2018.

  • Incident: Om personuppgifter till exempel kommit på villovägar ska detta anmälas till Datainspektionen inom 72 timmar från det att man fick kännedom om incidenten. Ett gott samarbete med Datainspektionen är viktigt inte minst för att reducera de potentiellt väldigt höga böter som kan utfärdas.

  • Information: GDPR ställer stora krav på information till den registrerade, bland annat ska information vara lättbegriplig och GDPR definierar i många fall vilken information som måste lämnas i olika situationer.

  • Laglig grund: Dataskyddsförordningens artikel 6 listar olika lagliga grunder, varav en måste vara uppfylld för att personuppgiftsbehandling ska få göras.

  • Personuppgift: I princip vad som helst som direkt eller indirekt kan användas för att identifiera en fysisk person.

  • Personuppgiftsansvarig: Den juridiska person som ansvarar för personuppgifter.

  • Personuppgiftsbiträde: Underleverantör som den personuppgiftsansvarige använder för att hantera personuppgifter.

  • Personuppgiftsbiträdesavtal: Ett obligatoriskt avtal mellan den personuppgiftsansvarige och biträdet som reglerar vad personuppgiftsbiträdet ska, och får, göra med personuppgifterna som behandlas för den personuppgiftsansvariges räkning.

  • Pseudonymisering: En dataskyddsåtgärd som innebär att personuppgifter avidentifieras i den databas de normalt används, men att det finns en nyckel tillgänglig på annat håll. Ska inte förväxlas med kryptering eller anonymisering.

  • Samtycke: En av de sex möjliga grunderna för laglig behandling av personuppgifter. Samtyckesbegreppet utökas (kompliceras kan man kanske också säga) i förhållande till samtyckesbegreppet i personuppgiftslagen. Den som idag har inhämtat samtycke i enlighet med personuppgiftslagen har inte nödvändigtvis längre ett giltigt inhämtat samtycke när GDPR börjar tillämpas.

  • Uppgiftsminimering: En central princip i GDPR som handlar om att man inte får samla in fler personuppgifter än vad som är nödvändigt för ändamålet, och inte lagra uppgifter längre än nödvändigt.

  • Ändamål: Behandling av personuppgifter får endast ske med definierat ändamål, och detta får i princip inte ändras eller utökas i efterhand.

Överföring: GDPR reglerar hur överföring av personuppgifter får ske, i synnerhet om uppgifter lämnas ut till någon, exempelvis ett personuppgiftsbiträde, i ett så kallat tredje land – det vill säga utanför EU. Om Storbritannien inte får till något avtal med EU gällande dataskydd kommer även de att räknas som tredje land efter Brexit.

Standard Sekundäryta

Actions
Loading...
Finsam.se använder cookies. Genom att fortsätta utan att ändra inställningarna accepterar du användning av cookies. Läs mer om kakor (cookies).