GDPR - Vägledning och rekommendationer

De flesta organisationer är i hög utsträckning beroende av sin information oavsett om den hanteras på papper, molnlagring, i dator, i nätverk eller annat. När information inte är korrekt eller behandlas fel kan det mycket snabbt leda till informationssäkerhetsincidenter som kan medföra exempelvis försening, avbrott eller att obehörig får insyn eller andra typer av skador. Om en sådan incident innehåller personuppgifter, så är incidenten att betrakta som en personuppgiftsincident där enskilda individers grundläggande fri- och rättigheter och rätt till integritet kan ha äventyras. 

Rättsregler om dataskydd (krav och principer för behandling av personuppgifter) bygger på bestämmelser om mänskliga rättigheter och enskilda personers rätt till integritet. Dataskyddslagstiftningen bygger också på att EUs medlemsstater ska ha en gemensam grund att driva sina intressen utifrån och kunna verka utifrån avtal, konventioner och andra samarbeten där olika aktörer har så lika förutsättningar som möjligt.

För att förhindra hot, risker och felaktig hantering eller behandling av information så behöver organisationer införa styrning, regler och rutiner. Många organisationer söker stöd i informationssäkerhetsstandarden ISO 27001-serien. Informationssäkerhetsområdet kan anses vara något bredare än rättsregler inom dataskydd på grund av att disciplinen avser att skydda all information oavsett om det är personuppgifter eller inte.

EUs Dataskyddslagstiftning (2016/627) trädde i kraft den 25:e maj 2018. Nationell dataskyddslagstiftning kompletterar Eus dataskyddsförordning. I Sverige trädde Lag (2018:218) med kompletterande bestämmelser till EU:s Dataskyddslagstiftning i kraft samma datum som Eus dataskyddsförordning. I den här guiden kommer dataskyddslagstiftning användas och då åsyftas Eus dataskyddsförordning och den nationella kompletterande dataskyddslagstiftningen.

Personuppgiftsansvariga är alla organisationer inom EU som insamlar och behandlar personuppgifter, dvs. företag, myndigheter, intresseorganisationer m.fl. Dataskyddslagstiftningen utkräver ansvar för att personuppgiftsansvariga måste förstå och följa dataskyddslagstiftningens krav och principer för den behandling av personuppgifter som ska ske, exempelvis lagring, bearbetning, åtkomst, överföring, insamling och utlämnande av personuppgifter om enskilda levande personer. Dataskyddslagstiftningen innehåller även bestämmelser om sanktioner i form av böter, vite och skadestånd samt att nationella tillsynsmyndigheter i EU medlemsstater får utfärda exempelvis förelägganden.

Dataskyddslagstiftningen fastställer att EU-medborgare ska åtnjuta samma skydd av hens personuppgifter oavsett var den personuppgiftsansvarige behandlar den registrerades personuppgifter.

EUs Dataskyddsförordning kan indelas på följande sätt:

• Allmänna bestämmelser
• Principer för personuppgiftsbehandling
• Den registrerades rättigheter
• Personuppgiftsansvarig och personuppgiftsbiträde
• Överföring av personuppgifter till tredjeländer eller internationella organisationer
• Oberoende tillsynsmyndigheter
• Samarbete och enhetlighet
• Rättsmedel, ansvar och sanktioner
• Bestämmelser om särskilda behandlingssituationer
• Delegerade akter och genomförandeakter samt
• Slutbestämmelser

Artiklar och beaktandesatser i Dataskyddsförordningen

Dataskyddsförordningen  innehåller 99 artiklar i numrerad ordning från 1-99. Till dessa artiklar finns 173 beaktandesatser eller skäl. Beaktandesatserna är vägledande för de 99 artiklarna, de återspeglar vad lagstiftaren avser med bestämmelsen som framgår av artikeln.

Dataskyddsförordning omfattar inte:

• Privatpersoner som behandlar personuppgifter för privat bruk
• Brottsbekämpande myndigheter, underrättelse och säkerhetstjänst (annan registerlag och brottsdatalag gäller för dessa aktörer)

Lag (2018:218) med kompletterande bestämmelser till EUs dataskyddsförordning:

Inledande bestämmelser

Rättslig grund för behandling av personuppgifter

Behandling av vissa kategorier av personuppgifter

Användningsbegränsningar

Begränsningar av vissa rättigheter och skyldigheter

Tillsynsmyndighetens handläggning och beslut

Skadestånd och överklagande

Övergångsbestämmelser

Förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning:

Inledande bestämmelser

Tillsynsmyndighet

Ackrediteringsorgan

Personuppgifter som rör lagöverträdelser

Enskilda arkiv

Verkställighet av beslut om sanktionsavgift

Bistånd enligt Europarådets dataskyddskonvention

Övergångsbestämmelser

Med personuppgift menas all information som rör fysiska levande individer som direkt eller indirekt kan identifieras baserat på informationen ifråga. Det spelar ingen roll vilken form informationen har. Exempelvis i IT-system (helt eller delvis automatiserad), på papper eller muntligt framställd information. Alla uppgifter som direkt eller indirekt kan hänföras till en levande individ är personuppgifter.

EUs dataskyddsförordning anger vilka personuppgifter som är känsliga. Kompletterande nationell lagstiftning anger exempel om vilka personuppgifter som kan anses vara integritetskänsliga.

Personuppgifter som ej kan hänföras till att vara känsliga enligt EUs dataskyddsförordning eller integritetskänsliga enligt kompletterande nationell lagstiftning kan anses vara ”harmlösa personuppgifter”.

Alla personuppgifter är skyddsvärda oavsett vilken typ eller kategori de kan tänkas vara. Detta betyder att skyddsåtgärder ska vidtas för att skydda både harmlösa, känsliga eller integritetskänsliga personuppgifter.

Integritetskänsliga personuppgifter enligt nationell kompletterande dataskyddslagstiftning bör åtnjuta samma skyddsnivåer som känsliga personuppgifter ska göra enligt EU dataskyddsförordning.

I anslutning till insamlandet av personuppgifter bör den personuppgiftsansvarige ha samråd med registrerade för att utröna vilka personuppgifter som den registrerade anser vara integritetskänsliga för hen.

Vad menas med typ av personuppgift?

Med typ av personuppgift menas uppgifter (som identifierare) om enskilda individer, det kan exempelvis vara ett namn, ett identifikationsnummer, lokaliseringsuppgifter, fordons registreringsnummer, mobiltelefonnummer, ett online-ID eller uppgifter som är specifika för en fysisk persons fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller social identitet.

Vad menas med kategori av registrerad?

Med kategori av registrerad menas exempelvis, men inte begränsat till:

• Elev
• Barn
• Kunder
• Leverantörer
• Samarbetsparter
• Anställda

Integritetskänsliga personuppgifter

Integritetskänsliga personuppgifter är enligt kompletterande nationell dataskyddslagstiftning exempelvis:

• Löneuppgifter
• Uppgifter om privat sfär, familje- och sociala förhållanden (exempelvis ekonomiska, sjukdomsbild, anhöriga)
• Värderande uppgifter (intyg, betyg, omdömen)
• Uppgift om lagöverträdelser

Känsliga personuppgifter

Känsliga personuppgifter är enligt EUs dataskyddsförordning:

• Ras eller etniskt ursprung
• Politiska åsikter
• Religiös eller filosofisk övertygelse
• Medlemskap i en fackförening
• Hälsa (exempelvis medicin, vård, behandling, diagnos, status)
• Uppgifter om en persons sexualliv eller sexuella läggning
• Genetiska eller biometriska uppgifter som entydigt identifierar en person

Dokumentation och kontroll över behandling av personuppgifter

Dataskyddslagstiftningen ställer krav på att personuppgiftsansvariga ska föra register över den personuppgiftsbehandling som sker i organisationen. Vad detta register ska innehålla styrs utifrån artikel 30 EUs dataskyddsförordning. Artikel 30-registret är att betrakta som ett kontrollinstrument i dataskyddsarbetet.

Dataskyddslagstiftningen reglerar vilken behandling av personuppgifter som är laglig.

Behandling av personuppgifter är endast laglig om:

• Den registrerade har samtyckt till organisationens behandling av personuppgifter – d.v.s den registrerade har accepterat en tilltänkt personuppgiftsbehandling. Ett samtycke ska vara frivilligt och får inte vara villkorat. Är det villkorat så är samtycket inte giltigt. 
• Personuppgiftsansvarig har ett avtal med den registrerade – d.v.s den registrerade och den personuppgiftsansvarige har ett avtal eller ska ingå ett avtal dem emellan. Avtalet bör vara skriftligt då personuppgiftsansvarig ska kunna bevisa att ett avtal ingåtts. 
• Personuppgiftsansvarig har en rättslig förpliktelse att behandla personuppgifter – d.v.s den personuppgiftsansvarige har skyldighet enligt annan lag att behandla personuppgifter, exempelvis bokföringslagen och arkivlagen.
• Behandlingen av personuppgifter är baserat på en intresseavvägning – d.v.s den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges berättigade intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
• Behandlingen av personuppgifter är nödvändig för att genomföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning – d.v.s den personuppgiftsansvarige måste behandla personuppgifter för att utföra en uppgift av allmänt intresse eller myndighetsutövning.
• Om det finns ett grundläggande intresse att behandla personuppgifter – d.v.s den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke. Exempelvis inom hälso- och sjukvård.

• Samtycke till behandling och lagring av personuppgifter 2025
  Ladda ner

Principerna innebär att personuppgifter bara får samlas in och behandlas om det är lagligt och förenligt med ändamålet med behandlingen. Principerna ska beaktas och prövas för all behandling av personuppgifter som sker i den personuppgiftsansvariges organisation, dessa beskrivs nedan och de berör:

• Ansvarsskyldighet och öppenhet
• Ändamålsbegränsning
• Lagringsminimering
• Uppgiftsminimering
• Inbyggt dataskydd
• Stöd för dataskydd

Principskiss

Bild 1. Bildillustration dataskyddsförordningen

Ansvarsskyldighet och öppenhet

Ansvarsskyldigheten innebär att den som är personuppgiftsansvarig (samt personuppgiftsbiträde eller underbiträde) ska kunna visa att Dataskyddslagstiftning beaktas och följs i tillämpliga delar.

Den som behandlar personuppgifter måste därför tillämpa dokumenterade styrningar och rutiner som medför att kontroll och revision kan genomföras.

Öppenheten innebär att personuppgiftsansvariga ska vara öppen och transparent med den behandling av personuppgifter som sker, i synnerhet mot de registrerade.

Ändamålsbegränsning

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan behandling av personuppgifter påbörjas. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål. Ändamål med behandling av personuppgifter ska dokumenteras (se rubricering artikel 30) och den registrerade ska få information om ändamålen och behandlingen både när uppgifterna samlas in eller när den registrerade begär det.

Om de insamlade personuppgifterna senare ska behandlas för andra ändamål som är förenliga med de ursprungliga ändamålen så måste registrerade också informeras om detta innan behandlingen påbörjas.

De insamlade personuppgifterna får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen. Om personuppgifter ska förvaras av ovan angivna ändamål, så ska det finnas lämpliga skyddsåtgärder som gör att personuppgifter får ett adekvat skydd. Exempelvis kan sammanställningar få krypteringsskydd, att åtkomst är behörighetsstyrd, att metoder för pseodonymisering används.

Lagringsminimering

Lagringsminimering innebär att organisationens på förhand anger hur länge personuppgifter ska behandlas. Grundprincipen är att personuppgifter inte får sparas längre än nödvändigt.

Uppgiftsminimering

Med uppgiftsminimering enligt dataskyddslagstiftningen ska så få personuppgifter som möjligt samlas in och behandlas. Det måste fastställas vilka personuppgifter som verkligen krävs för att tillgodose ändamålet med den tilltänkta behandlingen.

Uppgiftsminimering innebär också att personuppgifterna ska vara adekvata, relevanta och inte omfattande i förhållande till de ändamål för vilka de behandlas. Det är otillåtet att samla in personuppgifter för obestämda behov.

Redan insamlade personuppgifter får inte behandlas om de inte längre är relevanta för de ursprungliga angivna ändamålen.

Inbyggt dataskydd (privacy by design)

Inbyggt dataskydd innebär att organisationen tar hänsyn till personuppgifts- och integritetsskydd redan i planeringsstadiet för behandling av personuppgifter i sina tilltänkta eller befintliga informations- och informationsbehandlingssystem samt att i anslutning till detta skapa den styrning som krävs för organisationen ska kunna mäta, kontrollera och följa upp arbeten som berör behandling av personuppgifter.

Stöd för dataskydd (privacy by default)

Kravet på stöd för dataskydd som standard innebär i korthet att den som behandlar personuppgifter ska se till att de informationsbehandlingssystem som används redan från början stödjer säkerhets- och skyddsfunktioner för behandling av personuppgifter.

Den personuppgiftsansvarige har till uppgift, enligt dataskyddslagstiftningen, att fortlöpande bevaka att de metoder och funktioner för data- och integritetsskydd som används i organisationen ständigt förbättras. Detta innebär att personuppgiftsansvariga på ett kontinuerligt och återkommande sätt exempelvis genomför analys, konsekvensbedömning och riskhanteringsprocesser, baserat på incidenter och egenkontroller att olika tillämpningar över tiden tillåter ett adekvat skydd för den behandling av personuppgifter som sker.

Ett arbete utifrån perspektiven inbyggt dataskydd och stöd för dataskydd, där en organisation ska driva ett förändringsarbete, kräver hög kompetens och förståelse av de informationsbehandlingssystem som tillämpas eller ska tillämpas inom organisationen och vid till exempel kravställning vid upphandling. IT-system som ett exempel berör bland annat hårdvara, mjukvara (inklusive kod/programmering), drift, underhåll och mycket mera. En förutsättning för god kontroll är att inventera organisationens informations- och informationsbehandlingsresurser, dess beroenden och vilka aktörer som är inblandade.

Arbetet bör bedrivas i projektform och innefatta riskanalys, riskhantering, förstudier och kravställning utifrån olika discipliner. Discipliner återges som exempel, men inte begränsat till informationssäkerhet, juridiskt bindande krav, design, ledning, utveckling, funktioner. Tillämpning av livscykelperspektiv från skapande till användning och avveckling för både informations- och informationsbehandlingsresurser bör beaktas. Involvera den kompetens som krävs.

Principer för inbyggt dataskydd och integritetsskydd omfattar att informationsbehandlingssystem ska stödja:

• Att behandling av personuppgifter kan minimeras
• Att personuppgifter inte ska kunna behandlas i andra syften än vad man samlade in den för
• Att behandling av känsliga personuppgifter ska kunna åtnjuta högre säkerhets- och/eller skyddsnivåer
• Former av behörighetssystem och styrning för åtkomst/tillträde till personuppgifter
• Att personuppgifter inte ska behandlas längre än vad som krävs
• Möjligheter att använda kryptering vid lagring och kommunikation av personuppgifter
• Styrning av loggar
• Att arbetsflödet automatiskt styrs, så att användaren arbetar på ett integritetssäkert arbetssätt och att grundinställningarna är konfigurerade så att inte mer information än nödvändigt visas
• Att funktioner och rutiner för att gallra personuppgifter finns
• Insyn för registrerade
• Att kunna härleda transaktioner om personuppgifter
• Att kunna välja bort personuppgifter som inte är relevanta
• Anonymisering
• Att användargränssnitt kan styras för att begränsa eller för att förebygga mänskliga felskrivelser, felbehandling eller felhantering

Olika metoder och skyddsåtgärder kan till exempel vara:

• Segmentering
• Behörighetsadministration, roll och resurstilldelning
• Kryptering
• Högre krav på arkivering eller lagring
• Avidentifiering
• Pseodonymisering
• Backup
• Märkning (utifrån organisationens gällande klassificeringssystem)
• Efterlevnad av organisationens fastställda styrningar
• Att på ett systematiserat sätt införliva återkommande och periodiska kontroller som består av bland annat prestandaövervakning, övervakning av användning, kontroll av loggar såsom systemfel, inloggningsmönster eller kontroller av införda andra logiska funktioner (exempelvis intrångsdetekteringssystem (IDS), brandvägg m.fl.

Missbruksregeln

Den sk. missbruksregeln under f.d. dataskyddslagstiftningen (personuppgiftslag, PUL) är inte längre tillämpbar. PUL gjorde undantag för ostrukturerade personuppgifter. Dataskyddsförordningen medger inga undantag, oavsett om uppgifterna är strukturerade eller ostrukturerade. 

Vad innebär strukturerade personuppgifter?

Personuppgifter räknas som strukturerade så fort de görs sökbara, exempelvis genom att du lägger in dem i en databas eller ett register (det spelar ingen roll om det är ett digitalt eller analogt system).

Vad innebär ostrukturerade personuppgifter?

Ostrukturerade personuppgifter är all form av lagring, behandling och publicering av personuppgifter som inte är samlade och ordnade i ett sökbart system (det spelar ingen roll om det är ett digitalt eller analogt system).

• Personuppgiftshantering - Uppförandekod 2025
  Ladda ner

Personuppgiftsansvariga behandlar personuppgifter i samhällets alla hörn, även utanför EU.

Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området.

Exempel på överföring av personuppgifter till tredje land:

• Att skicka personuppgifter per e-post eller sms till någon i ett land utanför EU/EES
• Att anlita ett personuppgiftsbiträde i ett land utanför EU/EES
• Att ge någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES
• Att lagra personuppgifter i en molntjänst som är baserad utanför EU/EES
• Att lagra personuppgifter, till exempel på en server, i ett land utanför EU/EES

Europakommissionen beslutar

Europakommissionen är det organ som godkänner vilka tredje länder som personuppgiftsansvariga i EU får tillhandahålla eller överföra personuppgifter till.

När Europakommissionen fattar beslut om adekvat skyddsnivå så granskas bland annat landets lagar och internationella åtaganden, om landet har infrastrukturer som innebär att ett adekvat skydd kan upprätthållas i nationen, vilka möjligheter den registrerade har att få rättslig prövning och om landet respekterar FN deklaration om mänskliga rättigheter och EU antagna stadga om mänskliga rättigheter och de grundläggande friheterna. Europakommissionen kontrollerar också att det finns oberoende organ exempelvis tillsynsmyndigheter som ansvarar för att utöva just tillsyn om att rättsregler inom dataskydd följs.

Den registrerade har ett antal rättigheter över den tid som deras personuppgifter behandlas eller lagras, enligt Dataskyddslagstiftningen. Dessa rättigheter är:

• Rätt till information/tillgång
• Rätt till rättelse
• Rätt till radering
• Rätt till begränsning av behandling
• Rätt till dataportabilitet
• Rätt att avböja automatiserat beslutsfattande eller profilering
• Rätt att föra invändningar eller klagomål
• Rätt att föra skadeståndsanspråk

Rätt till information

Den registrerade har rätt att få information från den personuppgiftsansvarige avseende den behandling eller lagring av personuppgifter som sker om den registrerade.

Den personuppgiftsansvarige har skyldighet att lämna information till den registrerade i anslutning till att hens personuppgifter samlas in. Det gäller oavsett om personuppgifterna samlas in direkt från den registrerade eller från tredje part, ex SPAR.

Den personuppgiftsansvarige har skyldighet att löpande informera och upplysa registrerade om den behandling som exempelvis vid förändrade förutsättningar, om personuppgiftsansvarig vill behandla personuppgifterna för andra ändamål vilka skiljer sig från de ursprungliga ändamålen eller vid de tillfällen den registrerade har frågor om den behandling som sker.

Den personuppgiftsansvarige ska alltid förhålla sig att använda ett tydligt och enkelt språk.

Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade och till dataskyddsmyndigheten, till exempel om det inträffar en personuppgiftsincident hos den personuppgiftsansvarige som berör den registrerade.

Rätt till rättelse

Den registrerade har rätt att vända dig till den personuppgiftsansvarige och be att få felaktiga personuppgifter rättade eller kompletterande så att behandlingen av dina personuppgifter är relevanta med hänsyn till ändamålet med behandlingen.

Rätt till radering (rätten att bli bortglömd)

Den registrerade har rätt att vända dig till den personuppgiftsansvarige och be att personuppgifter raderas. Personuppgifter måste raderas i följande fall:

• Om uppgifterna inte längre behövs för de ändamål som de samlades in för
• Om behandlingen grundar sig på den registrerades samtycke och hen återkallar samtycket
• Om behandlingen sker för direktmarknadsföring och den registrerade motsätter sig att personuppgifter behandlas
• Om den registrerade motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den registrerades intresse
• Om personuppgifterna har behandlats olagligt
• Om radering krävs för att uppfylla en rättslig skyldighet
• Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk

Om uppgifter raderas på den registrerades begäran måste den personuppgiftsansvarige också informera dem som är personuppgiftsbiträde eller underbiträde, så att hens personuppgifter raderas i samtliga led.

Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, uppfylla en rättslig förpliktelse eller utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Rätt till begränsning av behandling

Registrerade har i vissa fall rätt att kräva att behandlingen av hens personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds.

När begränsningen ändras eller upphör ska den registrerade meddelas.

Rätten till dataportabilitet

Den registrerade har i vissa fall rätt att få ut och använda sina personuppgifter i annat gränssnitt. Till exempel i en annan digital tjänst, en databas. Den personuppgiftsansvarige är skyldig att underlätta en sådan överflyttning av personuppgifter.

Den personuppgiftsansvarige ska kunna tillhandahålla personuppgifter till den registrerade i ett allmänt och vedertaget format.

Den personuppgiftsansvarige bör informera den registrerade om i vilka format hen kan begära ut sina personuppgifter redan vid insamlandet av personuppgifter eller annars samråda om format direkt med den registrerade.

Vedertagna format kan exempelvis tänkas vara:

• Anteckningar (windows)
• Word (microsoft)
• Excel (microsoft)
• Pages (microsoft)

Automatiserat beslutsfattande eller profilering

Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande eller profilering, där det automatiserat beslutsfattandet eller profileringen kan ha rättsliga följder för den registrerade eller på liknande sätt i betydande grad kan påverka den registrerade negativt.

Automatiserat beslutsfattande kan vara tillåtet om det är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige eller om den enskilde har gett sitt uttryckliga samtycke.

Rätt att göra invändningar

Den registrerade har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hens personuppgifter.

Om den enskilde invänder mot behandling får den personuppgiftsansvarige endast fortsätta att behandla uppgifterna om personuppgiftsansvarig kan visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas och som då väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

Den enskilde har alltid rätt att invända mot att hans eller hennes personuppgifter används för direkt marknadsföring. En sådan invändning kan göras när som helst, muntligen eller skriftligen.

Görs exempelvis en invändning mot direkt marknadsföring, får personuppgifterna inte längre behandlas för sådana ändamål.

Klagomål
Om den registrerade anser att någon behandlar uppgifter om honom eller henne i strid med dataskyddslagstiftningen kan den registrerade lämna in ett klagomål till den Personuppgiftsansvarige eller till Dataskyddsmyndighet. Dataskyddsmyndigheten tar del av klagomål och bedömer om tillsyn ska inledas och lämnar därefter besked till den registrerade. Dataskyddsmyndigheten måste meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot klagomålet. Om den registrerade inte får besked inom den tiden, kan denne vända sig till domstol för att begära besked.

Skadestånd

Om den registrerade har lidit skada på grund av att dennes personuppgifter har behandlats i strid med dataskyddslagstiftningen, kan denne ha rätt till skadestånd av den eller de personuppgiftsansvariga.

Den registrerade kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.

Nedan beskrivs de befattningar, roller eller funktioner som bär utökat ansvar för behandling av personuppgifter.

De olika befattningarna, rollerna eller funktionerna är:

• Personuppgiftsansvarig
• Personuppgiftsbiträde
• Dataskyddsombud
• Dataskyddssamordnare

Personuppgiftsansvarig

Den som är personuppgiftsansvarig äger allt ansvar för behandlingen av personuppgifter inom sin organisation och dess verksamheter och har flera skyldigheter gentemot den registrerade. Sammantaget ska den personuppgiftsansvarige vidta säkerhets- och skyddsåtgärder för att leva upp till dataskyddslagstiftningens krav samt motverka personuppgiftsincidenter och i anslutning till dessa utöva kontroll över behandling av personuppgifter i organisationens verksamheter över tiden.

Personuppgiftsansvarig är en organisations (företag, myndighet eller andra intresseorganisationer) högsta ledning, under förutsättning att organisationen behandlar personuppgifter.

Den personuppgiftsansvarige kan ej avtala bort sitt ansvar som personuppgiftsansvarig.

Personuppgiftsbiträde

Ett personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Har personuppgiftsansvariges outsourcat processer, exempelvis molntjänster eller på annat sätt tillhandahållit/överfört personuppgifter till extern part, så är den externa parten att betrakta som ett personuppgiftsbiträde. Den personuppgiftsansvarige har skyldighet att ställa krav och villkor på hur personuppgiftsbiträdet får eller ska behandla personuppgiftsansvarigs tillhandahållna/överförda personuppgifter i ett personuppgiftsbiträdesavtal.

Den som är personuppgiftsbiträde ska agera och verka utifrån den personuppgiftsansvariges instruktioner, uppdrag och i förenlighet med ett personuppgiftsbiträdesavtal. Det är den personuppgiftsansvarige som ansvarar för att avtalet upprättas och finns.

Personuppgiftsansvarigs ansvar är breddat och omfattar bland annat att:

• Införa strategi och fastställd styrning för behandling av personuppgifter inom organisationen och i tillämpliga fall ingå avtal med personuppgiftsbiträden
• Dokumentera arbetet och det som berör behandling av personuppgifter för att möjliggöra kontroll och revision av efterlevnad
• Tilldela de resurser som är nödvändiga för att säkerställa att behandling av personuppgifter hanteras utefter dataskyddslagstiftningens krav
• Omvärldsbevaka området personuppgifter och integritet samt de informationssystem som används eller kan komma att användas för behandling av personuppgifter
• Kontinuerligt, periodiskt eller vid behov genomföra riskanalys och riskhantering
• Under den tid personuppgifter behandlas, alltid tillvarata den registrerades rättigheter
• Kontrollera, införa eller förbättra skyddsåtgärder för att förebygga eller motverka personuppgiftsincidenter
• Utreda, kartlägga och dokumentera vilken personuppgiftsbehandling som sker i organisationen (enligt artikel 30 EUs dataskyddsförordning)
• Införa och vidmakthålla kompetens som krävs inom organisationen för att behandla personuppgifter på ett korrekt och säkert sätt över tiden
• Tillämpa egenkontroller och extern revision
• I tillämpa fall utse dataskyddsombud
• Periodiskt och kontinuerligt bedriva uppföljnings-, utvärderings- och förbättringsarbete

För att visa på utmaningar som finns ges nedan några exempel på frågor som många organisationer kämpar för att besvara i relation till dataskyddslagstiftningens krav:

• Vart i våra system behandlas personuppgifter (inneboende rekvisit för: var, hur, varför, när, vem/eller vad)
• Hur identifierar, definierar och hanterar en organisation alla relevanta informationsresurser för att säkerställa att alla nödvändiga riktlinjer och procedurer tillämpas, mäts, kontrolleras, följs upp?
• Hur inhämtar och hanterar en organisation det samtycke som ges av den registrerade till den personuppgiftsansvarige?
• Vad har vi för IT-system idag, hur är de konfigurerade?
• Hur kan organisationen på ett effektivt sätt svara på förfrågningar om åtkomst, rätt till radering och portabilitet inom de tidsramar som krävs?
• Är hela eller delar av IT-system skyddade, behöver vi andra system som klarar av att vidmakthålla specifika skyddsnivåer?
• Hur kontrollerar organisationen tillträde och eller åtkomst till information- och informationsbehandlingsresurser?
• Hur övervakar organisationen informationsbehandlingsresurser?
• Ta organisationen bort personuppgifter eller sekretess när det inte krävs för organisationens affärsmål eller motsvarande?
• Vilka typer av olika data- eller digitala format behöver skyddas?
• Vilka rutiner ska organisationen tillämpa vid personuppgiftsincidenter?

Dataskyddsombud

Den personuppgiftsansvarige i en organisation bör utse ett dataskyddsombud. Om den personuppgiftsansvarige behandlar känsliga personuppgifter så ska ett dataskyddsombud utses.

Dataskyddsombud är en person som bland annat utövar kontroll och tillsyn över behandling av personuppgifter. Dataskyddsombudet är bunden av sekretess och tystnadsplikt i sin tjänsteutövning. Ansvaret för att dataskyddslagstiftningen och interna regler följs har alltid den personuppgiftsansvarige.

Ett dataskyddsombud får ha andra arbetsuppgifter utöver sitt uppdrag som dataskyddsombud. Dock ska risker för intressekonflikter utredas och dokumenteras innan uppdraget påbörjas. Dataskyddsombuds ställning regleras i dataskyddslagstiftningen.

Personuppgiftsansvarig ska säkerställa att dataskyddsombudet involveras på ett korrekt sätt och i god tid deltar i samtliga frågor som berör skyddet av personuppgifter.

Dataskyddsombudet ska:

• Tilldelas tillräckliga resurser för att utföra sina arbetsuppgifter och kunna göra detta på ett självständigt och oberoende sätt
• Inte ta emot instruktioner omkring hur dennes uppdrag ska utföras och ska inte utsättas eller belastas för repressalier på grund av utförandet av sina arbetsuppgifter
• Rapportera sitt arbete direkt till personuppgiftsansvarig.

Dataskyddsombudets arbetsuppgifter inom organisationen och dess verksamheter är bland annat att:

• Medverka i konsekvensbedömningar, riskanalys och riskhanteringsprocesser som har fokus på eller emot behandling av personuppgifter, data- och integritetsskydd
• Vara intern företrädare, föredragande rådgivare, informatör, utbildare, vägledande eller kontaktperson inom organisationen med fokus på rättigheter och skyldigheter som gäller enligt Dataskyddslagstiftning och annan dataskyddslagstiftning
• Övervaka att reglerna i Dataskyddslagstiftning och annan dataskyddslagstiftning följs
• Övervaka att organisationens strategier och policyer för behandling av personuppgifter följs
• Övervaka att införda säkerhets- och skyddsmekanismer för skydd av personuppgifter har rätt funktion och prestanda
• Genomföra och/eller medverka i planering, stöd eller genomförande av revision, externrevision och annat som berör behandling och skydd av personuppgifter
• Vara samarbets- och kontaktperson till Integritetsskyddsmyndigheten (eller utsedd tillsynsmyndighet inom EU)
• Fungera som kontaktpunkt för de registrerade

Dataskyddssamordnare

Dataskyddssamordnare kan utses för att bistå i dataskyddsarbetet. Denna funktion är inte lagstadgad men kan vara en resurs för organisationen. Dataskyddssamordnare kan kartlägga organisationens arbete med personuppgifter och vägleda organisationen i dessa frågor. I dataskyddssamordnarens uppgifter kan det ingå att organisera, utbilda och stödja organisationen i dess regelefterlevnad inom dataskydd.

Personuppgiftsbiträdesavtal

Dataskyddslagstiftning ställer krav på att personuppgiftsansvariga ska ingå ett skriftligt avtal med aktörer som ska behandla personuppgifter för deras räkning. Avtalshandlingarna består av:

• Personuppgiftsbiträdesavtalet
• Instruktion för behandling av personuppgifter
• Bilaga som inrymmer underbiträden

I avtalet ska det särskilt framgå att personuppgiftsbiträdet endast får behandla personuppgifter utifrån den personuppgiftsansvariges instruktioner.

Personuppgiftbiträdesavtal ska omfatta, men inte begränsas till:

• Styrning från den personuppgiftsansvarige i form av en instruktion, personuppgiftsbiträdet ska agera utifrån denna instruktion
• Sekretess och eller tystnadsplikt förbindelse
• Hur parterna ska förhålla sig till de registrerade
• Befogenheter och skyldigheter för att vidta alla åtgärder (organisatoriska och tekniska) som är nödvändiga för att säkerställa adekvat skyddsnivå för personuppgifter
• Bestämmelser om hantering av personuppgifter när personuppgiftbiträdets uppdrag avslutas

Sanktioner

Om personuppgiftsansvarig ej lever upp till dataskyddslagstiftningens krav eller i de fall personuppgiftsincidenter sker, kan sanktioner utdömas i form av böter, vite eller skadeståndsanspråk.

Dataskyddslagstiftningens bestämmelser innebär att organisationer som behandlar personuppgifter kan komma att påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller upp till 4 % av den totala globala årsomsättningen under föregående budgetår, om efterlevnad om Dataskyddslagstiftningens krav ej uppnås. Integritetsskyddsmyndigheten är det organ som utdömer sanktionsavgifter.

Skadeståndsanspråk kan ställas av den registrerade och detta kan riktas direkt mot den personuppgiftsansvarige eller personuppgiftsbiträde. Skadestånd fastställs av det allmänna domstolsväsendet för civilrättsliga mål.

Konsekvensbedömning

Den som är personuppgiftsansvarig ska innan behandling av personuppgifter sker, låta genomföra konsekvensbedömning innan behandling av personuppgifter påbörjas. Detta för att identifiera och motverka hot och risker som kan medföra att registrerades grundläggande fri- och rättigheter och rätt till integritet skadas. Dessa processer ska vara kontinuerliga och genomföras vid behov.

Personuppgiftsansvarig är skyldig att rådfråga dataskyddsombud om skydd av personuppgifter i sin konsekvensbedömning.

• Befattningsbeskrivning - Dataskyddsombud 2025
  Ladda ner
• Befattningsbeskrivning - Dataskyddssamordnare 2025
  Ladda ner
• Personuppgiftsbiträdesavtal 2025
  Ladda ner
• Personuppgiftsbiträdesavtal Engelsk 2025
  Ladda ner

Var och en har rätt till skydd för sitt privatliv och skydd av de personuppgifter som rör honom eller henne enligt Dataskyddslagstiftning. Den personuppgiftsansvarige har det fulla ansvaret att värna om den registrerades rättigheter och rätt till integritet.

En personuppgiftsincident är att betrakta som ett möjligt reellt hot- eller risk alternativt ett påbörjat eller avslutat intrång emot den registrerades personuppgifter (intrång i den registrerades integritet) i förhållande till gällande samtycke och ändamålet med behandlingen av dennes personuppgifter.

Den personuppgiftsansvarige ska införa styrning och funktioner för att motverka hot- och risker som kan medföra personuppgiftsincidenter.

Dessa styrningar och funktioner omfattar bland annat, men inte begränsat till:

• Fastställda rutiner och bestämmelser som ska vidtas vid en personuppgiftsincident
• Säkerhets- och skyddsmekanismer bör vara upptäckande, korrigerande och av blockerande karaktär för att få indikation, begränsa eller avvärja påbörjat angrepp som kan medföra personuppgiftsincident

Enligt Dataskyddslagstiftningen ska tillsynsmyndighet underrättas inom 72 timmar från upptäckt av personuppgiftsincident. Personuppgiftsincidenter ska meddelas av den personuppgiftsansvarige. Personuppgiftsincident ska även meddelas till involverade registrerade, så att dessa personer kan ta ställning till eventuella hot och risker som personuppgiftsincidenter kan leda till.

Olika typer av personuppgifter kan kräva att organisationer överväger olika metoder och tekniker för att identifiera, definiera och dokumentera sin hantering av personuppgifter och dess flöden inom organisationen. Det regleras i EUs dataskyddsförordning artikel 30. Organisationen behöver inleda sitt arbete med att inventera sin egen behandling av personuppgifter. Det är en förutsättning och grund för att kunna införa skydd för personuppgifter och uppnå efterlevnad av dataskyddslagstiftningens krav. Organisationen rekommenderas att genomföra en förstudie med syfte att kartlägga sin behandling av personuppgifter.

Principskiss för ett inledande arbete

Bild 2. Principskiss inledande arbete

Steg 1
Beslut om förstudie

Steg 2
Införa kompetens och medvetandegöra organisationen.

Steg 3
Identifiera (inventera) vilka personuppgifter organisationen behandlar.

Steg 4
Identifiera (inventera) var och i vilka former eller gränssnitt personuppgifter behandlas.

Steg 5
Identifiera (inventera) och utred om organisationen behandlar personuppgifter som anses känsliga. Inventering av behandlingar bör ske i enlighet med vad som föreskrivs artikel 30 EUs dataskyddsförordning.

Steg 6
Genomför GAP-analys emot dataskyddslagstiftningens krav (nuläge i förhållande till krav).

Steg 7
Organisationen ska överväga eller avgöra om fortsatt arbete att åtgärda de resultat som genomförd GAP visar.

• GDPR - Nulägesanalys 2025
  Ladda ner

Avidentifiering
Avidentifiering innebär att all information som kan användas för att identifiera personer tas bort permanent.

Dataportabilitet
Den registrerades rättigheter att kunna begära ut sina personuppgifter i maskinläsbart format.

Den registrerade
Den eller de personer personuppgiftsbehandlingen berör.

Europeiska kommissionen
Europeiska kommissionen är en politiskt oberoende och verkställande EU-institution. Kommissionen föreslår nya EU-lagar och genomför Europaparlamentets och rådets beslut.

Uppgift: Arbetar för EU:s gemensamma bästa genom att föreslå och genomföra EU:s lagstiftning och politik

Ledamöter: En grupp eller ”kollegium” av kommissionärer, en från varje EU-land. Plats Bryssel.

GAP-analys
En GAP-analys är ett metodstöd som gör det möjligt att ange status för ett faktiskt nuläge i förhållande till krav som finns att uppnå. Sammanställningen ska visa ”gapet” mellan nuläget och krav.

Dataskyddslagstiftning
General Data Protection Regulation 2016/679 (GDPR).

Informationsbehandlingsresurs/er
En organisations informationsbehandlingssystem.

Informationssäkerhet
Önskad nivå av tillgänglighet, sekretess, riktighet och spårbarhet

Informationsresurs/er
En organisations informationsresurs, oavsett dess form.

LIS
Ledningssystem för informationssäkerhet.

Personuppgiftsansvarig
Den som bestämmer mål och medel för behandling av personuppgifter.

Personuppgiftsbiträde
Den som behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Dataskyddsombud
Granskar den personuppgiftsansvariges behandling av personuppgifter.

Pseudonymisering
Ersättning av en personuppgift. Namn, personnummer eller annan uppgift som är knuten till en bestämd person byts ut mot andra attribut som inte kan knytas till specifik person på ett direkt sätt. Endast särskilt behöriga ska kunna ta reda på vilken person en pseudonym står för. Det ska kunna spåras vem som identifierat personen, så kallad spårbarhet.

Riskanalys
En process att identifiera och bedöma hot och risker.

Riskhantering
En process att behandla identifierade hot och risker.

Samtycke
Den registrerade samtycker till behandling av dennes personuppgifter.