GDPR – EU:s dataskyddsförordning ger individer rättigheter och ålägger organisationer vissa skyldigheter. Läs vidare för att få en översikt här.
Dataskyddsförordningen: Skyldigheter och rättigheter

Dataskyddsförordningen: Skyldigheter och rättigheter

Time Reading
6 minuters läsning
GDPR

Dataskyddsförordningen (GDPR), som trädde i kraft den 25 maj 2018, är en lag som syftar till att skydda individers personuppgifter och ge människor kontroll över sina egna uppgifter som hanteras av organisationer. Samtidigt ställer förordningen krav på organisationer för att säkerställa att personuppgifter inte missbrukas eller delas utan samtycke.

Vi har sammanställt både rättigheter och skyldigheter kopplade till dataskyddsförordningen nedan, så att du kan få en tydlig överblick och förhoppningsvis säkerställa att du följer de aktuella kraven.

Den registrerades rättigheter enligt dataskyddsförordningen

När en organisation behandlar personuppgifter har den registrerade flera rättigheter som organisationen måste respektera:

  • Rätt till information: Den registrerade har rätt att bli informerad om insamling av personuppgifter i en kortfattad och lättförståelig form. Detta gäller både uppgifter som samlas in direkt från den registrerade och från andra källor.
  • Rätt till insyn: Den registrerade har rätt att se vilka personuppgifter som behandlas av organisationen. Den personuppgiftsansvarige har en skyldighet att hantera och i de flesta fall tillmötesgå en sådan begäran.
  • Rätt till rättelse: Den registrerade har rätt att få felaktiga uppgifter korrigerade. Den personuppgiftsansvarige måste vid behov rätta dessa uppgifter. Om det råder oenighet om huruvida uppgifterna är korrekta, ska organisationen notera den registrerades invändning.
  • Rätt till radering: Med vissa undantag har den registrerade rätt att få sina personuppgifter raderade. Om villkoren för radering är uppfyllda, måste organisationen radera uppgifterna på ett sätt som gör att de inte kan återskapas.
  • Rätt till begränsning av behandling: Den registrerade kan i vissa fall begära att behandlingen av deras personuppgifter begränsas. Detta kan exempelvis ske om uppgifterna är felaktiga eller om behandlingen är olaglig.
  • Rätt till dataportabilitet: Den registrerade har rätt att få sina uppgifter i ett läsbart format och, om det är tekniskt möjligt, begära att dessa överförs till en annan organisation.
  • Rätt att invända: Den registrerade kan invända mot en behandling som i övrigt är laglig. Organisationen måste då bedöma om invändningen är berättigad och eventuellt ompröva behandlingen.
  • Rätt att inte bli föremål för automatiserade beslut: Den registrerade har rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inklusive profilering.

Organisationens skyldigheter enligt dataskyddsförordningen

En av de grundläggande principerna i dataskyddsförordningen är att den personuppgiftsansvarige måste ha en rättslig grund för att behandla personuppgifter. Detta kallas behandlingsgrund. Organisationen måste definiera både hur insamlingen sker och vilken rättslig grund som används.

Vid val av behandlingsgrund måste organisationen beakta följande:

  1. Typ av personuppgifter: GDPR skiljer mellan vanliga och känsliga personuppgifter (enligt artikel 6 och 9). Dessutom kan nationella lagar, som i Sverige, tillföra särskilda regler för exempelvis personnummer och uppgifter om brott.
  2. Behandlingssyfte: Organisationen måste fastställa syftet med databehandlingen. Är det för att uppfylla en rättslig skyldighet, fullgöra ett avtal eller något annat berättigat ändamål? Exempelvis behöver en arbetsgivare hantera anställdas personuppgifter för att kunna betala ut löner.

Den personuppgiftsansvarige måste göra ett medvetet val av vilken eller vilka rättsliga grunder som ska användas för att basera behandlingen av personuppgifter på. Detta kan ibland upplevas som överväldigande och förvirrande, eftersom flera grunder kan vara möjliga. Många organisationer tenderar att välja "samtycke" eftersom det verkar som en enkel lösning för att säkerställa laglig grund. Detta är dock inte alltid den mest lämpliga grunden.

Den registrerade måste alltid ha möjlighet att återkalla sitt samtycke, vilket innebär att databehandlingen måste stoppas. Om behandlingen av dessa personuppgifter är avgörande för organisationens dagliga arbete kan detta bli problematiskt.

Många organisationer tänker inte på detta när de väljer rättslig grund. När en grund väl har fastställts kan organisationen inte plötsligt byta till en annan grund om den ursprungliga inte längre gäller – exempelvis om ett samtycke återkallas. Därför är det av yttersta vikt att välja rätt från början.

För organisationer handlar det om att göra det enkelt för sig själva. Det är viktigt att tillämpa en riskbaserad strategi som tar hänsyn till både de registrerades rättigheter och vad som är bäst för organisationen, både ur juridiskt och resurshanteringsmässigt perspektiv. Som personuppgiftsansvarig är det således avgörande att välja den rättsliga grund som är starkast och mest lämplig för databehandlingen.

När samtycke är den rätta behandlingsgrunden

Även om samtycke inte alltid är den bästa behandlingsgrunden, kan det i vissa fall vara det mest lämpliga. För att samtycket ska vara giltigt enligt GDPR måste det uppfylla flera krav:

  • Frivillighet: Samtycket måste ges frivilligt av den registrerade.
  • Legitimitet: Det måste finnas ett lagenligt syfte för att samla in uppgifterna.
  • Specifikt: Syftet med datainsamlingen måste vara tydligt angivet.
  • Informerat: Samtycket ska vara lättförståeligt och tydligt uttryckt.
  • Otvetydigt: Passivitet eller tyst accept är inte tillräckligt – den registrerade måste aktivt godkänn

Uppnå GDPR-efterlevnad

Det kan vara svårt att navigera bland skyldigheter och rättigheter i dataskyddsförordningen (GDPR), och många organisationer kan inte med säkerhet säga om de följer regelverket fullt ut. Faktum är dock att om du inte kan dokumentera dina insatser inom dataskydd, så existerar de inte – åtminstone inte enligt Datainspektionen.

Vill du säkerställa att din organisation alltid kan generera rapporter och dokumentera data och processer, kan det vara en god idé att investera i GDPR-programvara. På så sätt kan du effektivisera insamlingen av information, göra behandlingsaktiviteter synliga och få en tydlig översikt över arbetet med efterlevnadskontroll.

RISMA:s GDPR-programvara är utvecklad i samarbete med advokatbyrån Plesner, som är branschledande experter inom dataskydd. Systemet är utformat för att kunna användas av användare utan specialutbildning i GDPR. Är du nyfiken är du alltid välkommen att boka en demo.

LÄS OCKSÅ: Utnyttja affärsvärdet av GDPR
Logo

Andra artiklar

Vad är ESG och varför är det viktigt?

Time Reading
5 minuters läsning
ESG

NFRD vs. CSRD - vad är skillnaden och vad betyder det för dig?

Time Reading
4 minuters läsning

Incidenthantering: Övervaka incidenter och lär dig av dem

Time Reading
7 minuters läsning
GDPR