Personuppgiftslagen och GDPR

Personuppgiftslagens grundläggande principer

I Sverige utgör Personuppgiftslagen (1998:204) ramverket för hantering av personuppgifter. Lagen syftar till att skydda individers integritet i samband med behandling av dessa uppgifter.

Vad räknas som personuppgifter och känsliga uppgifter?

Personuppgifter är all information som direkt eller indirekt kan knytas till en fysisk levande person. Det inkluderar namn, adresser, bilder och e-postadresser. 

Känsliga personuppgifter innefattar information som rör:

  • Etniskt ursprung.
  • Politiska åsikter.
  • Religiös eller filosofisk övertygelse.
  • Medlemskap i fackföreningar.
  • Genetiska data.
  • Biometriska data.
  • Hälsorelaterad data.
  • Sexuellt liv eller sexuell läggning.

Personuppgifter får bara behandlas genom samtycke 

Personuppgiftslagen

Behandling av personuppgifter är endast laglig om den har en rättslig grund enligt datalagen. Samtycke är en av dessa grunder och måste vara frivilligt, specifikt, informerat och otvetydigt. 

En användare måste aktivt ha lämnat sitt samtycke till att hans/hennes personuppgifter behandlas för ett eller flera specifika ändamål.

Principer för behandling av personlig information

När dina personuppgifter behandlas bör följande grundläggande principer alltid vara i åtanke:

  • Ändamålsenlighet: Uppgifterna bör samlas endast för uttryckliga, legitima och specifika ändamål.
  • Datainnehåll: Endast adekvata, relevanta och nödvändiga uppgifter i förhållande till ändamålen bör behandlas.
  • Riktighet: Personuppgifter måste vara korrekta och uppdateras vid behov.
  • Lagringsbegränsning: Uppgifter får inte sparas längre än nödvändigt. När personuppgifterna inte längre behövs för ändamålet ska de raderas eller avidentifieras.
  • Integritet och konfidentialitet: Uppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada.

Att förstå och tillämpa dessa principer är avgörande för att säkerställa att behandlingen av personuppgifter följer Sveriges personuppgiftslag och den övergripande Europeiska dataskyddsförordningen (GDPR).

GDPR och hur lagen fungerar i Sverige

När du hanterar personuppgifter i Sverige, är det viktigt att förstå och tillämpa EU dataskyddsförordning “GDPR” korrekt. Lagen gör reglerna för dataskydd lika i hela EU och gäller för både statliga myndigheter och företag.

EU Datasäkerhetsförordning

GDPR trädde kraft den 25 maj 2018 och ersatte den svenska Personuppgiftslagen (PUL). GDPR är bindande för alla EU-medlemsstater och har som syfte att skydda personuppgifter samt ge individer större kontroll över sina egna data. 

För svenska organisationer betyder det att de måste ha klarare godkännande för att använda data och ge starkare skydd till personer, som att låta dem flytta sina data lätt och ha rätt att radera sin information.

Krav på att dokumentera personuppgiftsbehandling

En viktig aspekt av GDPR är kravet på att dokumentera personuppgiftsbehandling. Detta innebär att du som personuppgiftsansvarig behöver hålla ett register över behandlingsaktiviteter. 

För varje aktivitet ska det framgå:

  • Syftet med behandlingen.
  • Kategorier av personuppgifter.
  • Mottagare till vilka personuppgifterna har eller kommer att offentliggöras.
  • Planerade tidsfrister för radering av de olika kategorierna av data.

Integritetsskyddsmyndighetens roll

I Sverige har Integritetsskyddsmyndigheten (IMY) uppgiften att se till att GDPR reglerna följs. IMY, som tidigare var Datainspektionen, har befogenhet att utfärda varningar och sanktionsavgifter vid överträdelser. 

Det är viktigt att du som verksamhetsutövare förstår att tillsynsmyndighetens beslut kan inkludera påföljder, och att dessa beslut publiceras i Svensk författningssamling och blir en del av svensk lag.

Ditt ansvar som personuppgiftsansvarig

dataskyddsförordning gdpr

Som personuppgiftsansvarig har du ansvar för att bestämma syften med och medel för behandling av personuppgifter. Du måste säkerställa att behandlingen uppfyller alla krav som föreskrivs i regelverket, vilket inkluderar GDPR och eventuella nationella föreskrifter. 

Varje uppgift som hanteras ska ha ett tydligt och legitimt syfte och behandlas på ett lagligt och transparent sätt.

Dina skyldigheter och rättigheter

Du har skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. 

Detta inkluderar att:

  • Genomföra riskbedömningar.
  • Säkerställa att rättighetsägare kan utöva sina rättigheter (exempelvis rätten till tillgång, rättelse och radering).

Du bör även vara uppmärksam på individernas rättigheter och effektivt hantera eventuella begäran om datatillgång eller invändningar mot behandling.

IMY har rätt att genomföra kontroller

Integritetsskyddsmyndigheten har mandat att utöva myndighetsutövning enligt GDPR och har rätt att genomföra kontroller hos personuppgiftsansvariga. Myndighetens föreskrifter och beslut ska följas, och om du bryter mot regelverket kan det resultera i sanktioner såsom:

  • Varningar och förelägganden.
  • Böter, som potentiellt kan vara mycket höga.

Speciella kategorier och undantag

I dataskyddsregleringen ställs stränga krav på hantering av särskilda kategorier av personuppgifter. I vissa fall tillåts undantag för att behandla dessa känsliga uppgifter, förutsatt att tydliga villkor och skyddsåtgärder finns på plats.

Hälso- och Sjukvård

I hälso- och sjukvårdssektorn kan behandling av känsliga personuppgifter vara nödvändig för att tillhandahålla vård. Gällande lagar, som patientdatalagen, kompletterar GDPR och tillåter hantering av personuppgifter för hälso- och sjukvårdsändamål, under förutsättning av hög skyddsnivå och i syfte som vård av patienter eller folkhälsoskydd.

Arbetsrätten och kommuner

Inom arbetsrätten och för kommuner är behandling av personuppgifter tillåten när det är nödvändigt för att fullgöra ett avtal eller lagstadgade skyldigheter. Det gäller också för ideella organisationer, under förutsättning att de uppfyller strikta skydd kriterier av datainformation. 

Sådan behandling måste leva upp till GDPR krav samt beakta den svenska offentlighets- och sekretesslagen.

Forskning och allmänt intresse

Forskning kan motivera behandling av känsliga uppgifter när det är i allmänt intresse och när adekvata skyddsåtgärder finns. Det kan inkludera upprättande och efterlevnad av etiska standarder för forskning. 

Det är avgörande att respektera principen om dataminimering och säkerhet för att skydda den personliga integriteten.

Informationssäkerhet och hantering av dataintrång

Informationssäkerhet och hantering av dataintrång

Informationssäkerhet och hantering av dataintrång är kritiska aspekter i skyddet av personuppgifter. Det är väsentligt att du förstår din roll och ansvar i enlighet med dataskyddsförordningen.

Skydd av personuppgifter

Som personuppgiftsansvarig innebär det att du måste implementera adekvata tekniska och organisatoriska åtgärder för att skydda personuppgifter från att läcka ut, oavsett om det är i e-postform eller via sociala medier.

Åtgärderna ska skydda mot:

  • Otillåten eller avsiktlig förstörelse.
  • Förlust eller ändring.
  • Otillåten spridning eller åtkomst.

För att uppnå detta krävs bland annat:

  • Kryptering av e-post och lagrade data.
  • Strikt behörighetsstyrning.
  • Regelmässiga säkerhetsgenomgångar.

Hantering av dataintrång

Vid ett dataintrång måste du omedelbart vidta lämpliga åtgärder. Dataskyddslagen säger att Datainspektionen måste få veta inom 72 timmar om någon upptäcker att data har blivit stulen eller på annat sätt kommit ut. 

Du bör också informera de berörda individerna om incidenten, speciellt om det innebär en hög risk för deras rättigheter och friheter.

Stegen innefattar:

  1. Identifiering: Upptäck och fastställa omfattningen av intrånget.
  2. Rapportering: Meddela Datainspektionen och vid behov de påverkade personerna.
  3. Åtgärder: Begränsa skadan och förhindra framtida incidenter.

Så fungerar missbruksregeln

Enligt missbruksregeln i GDPR får ostrukturerat material inte bearbetas på ett sätt som strider mot lagstiftningen. Det innebär att vanlig text eller oordnad information, som du hittar på sociala medier eller i mejl, måste skyddas lika mycket som ordnade data. 

Därför måste du se till att personuppgifter är skyddade även när de inte är ordnade i system, och att all information hanteras rätt så det inte skadar allmänhetens intressen eller bryter mot grundläggande rättigheter och friheter.

Vanliga frågor och svar

❓ Vad är skillnaden på personuppgiftslagen och GDPR?

Skillnaderna mellan personuppgiftslagen (PUL) och GDPR inkluderar hårdare straff vid brott mot GDPR, ökad kontroll och ansvar för dataskyddsmyndigheter, införandet av dataskyddsombud, strängare regler för samtycke, och borttagningen av ”missbruksregeln” för e-post. GDPR stärker skyddet för personuppgifter och ställer högre krav på organisationer​​​​​​​​.

❓ Vad innebär personuppgiftslagen?

Personuppgiftslagen (PUL) var Sveriges implementering av EU:s dataskyddsdirektiv och reglerade behandlingen av personuppgifter till dess att den ersattes av GDPR. PUL krävde bland annat samtycke för hantering av personuppgifter och gav individer rätt att få information om deras data behandlas​​.

❓ Vad är en personuppgiftsincident enligt GDPR?

En personuppgiftsincident enligt GDPR är en säkerhetshändelse där personuppgifter riskerar att komma bort, förstöras, ändras, röjas, eller på annat sätt behandlas på ett sätt som inte är tillåtet. Organisationer måste rapportera sådana incidenter till relevant tillsynsmyndighet inom 72 timmar och i vissa fall även informera de berörda individerna​​.

❓ Vad heter GDPR-lagen?

GDPR-lagen heter officiellt Dataskyddsförordningen, men är mest känd under sin engelska förkortning GDPR, som står för General Data Protection Regulation. Den är en EU-förordning som syftar till att stärka och harmonisera skyddet för personuppgifter inom hela EU​​.

Källor