Kapitel 01 Gällande från: 25 maj 2018

GDPR

Allmän dataskyddsförordning

Översikt

Den allmänna dataskyddsförordningen (GDPR) är hörnstenen i EU:s dataskyddslagstiftning. Den ersatte dataskyddsdirektivet 95/46/EG och stärkte avsevärt individers rättigheter över deras personuppgifter samtidigt som den ålade omfattande skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden.[1]

GDPR gäller för alla organisationer som behandlar personuppgifter om individer inom EU, oavsett var organisationen är etablerad. Denna extraterritoriella räckvidd har gjort GDPR till en de facto global standard för dataskydd.[2]

Vem måste följa

  • Personuppgiftsansvariga: Organisationer som bestämmer ändamålen och medlen för behandling av personuppgifter
  • Personuppgiftsbiträden: Organisationer som behandlar personuppgifter för de personuppgiftsansvarigas räkning
  • Organisationer utanför EU: Alla organisationer som erbjuder varor/tjänster till EU-invånare eller övervakar deras beteende
  • Alla sektorer: Gäller över branscher med begränsade undantag för brottsbekämpning och nationell säkerhet

Viktiga krav för utvecklare

Laglig grund för behandling

Varje behandlingsåtgärd måste ha en giltig rättslig grund enligt artikel 6:[3]

  1. Samtycke: Fritt given, specifik, informerad och otvetydig
  2. Avtal: Nödvändig för att fullgöra ett avtal med den registrerade
  3. Rättslig förpliktelse: Krävs enligt EU- eller medlemsstatslagstiftning
  4. Väsentliga intressen: Skydda den registrerades eller annan persons liv
  5. Allmänt intresse: Nödvändig för allmänt intresse eller utövande av offentlig myndighet
  6. Berättigade intressen: Avvägda mot den registrerades rättigheter (gäller ej offentliga myndigheter)

Tekniska krav

  • Dataminimering: Samla endast in det som är nödvändigt för det angivna ändamålet
  • Lagringsbegränsning: Behåll personuppgifter endast så länge det är nödvändigt
  • Integritet och konfidentialitet: Implementera lämpliga säkerhetsåtgärder
  • Dataskydd som standard och i design: Bygg in dataskydd i system från början (artikel 25)[4]

Den registrerades rättigheter

Applikationer måste stödja följande rättigheter:

RättighetBeskrivningSvarstid
Tillgång (art. 15)Ge kopia av personuppgifter och information om behandlingen1 månad
Rättelse (art. 16)Korrigera felaktiga personuppgifterUtan onödigt dröjsmål
Radering (art. 17)Radera uppgifter när de inte längre är nödvändigaUtan onödigt dröjsmål
Begränsning (art. 18)Begränsa behandlingen under specifika omständigheterUtan onödigt dröjsmål
Portabilitet (art. 20)Tillhandahåll data i maskinläsbart format1 månad
Invändning (art. 21)Invänd mot behandling baserat på berättigade intressenUtan onödigt dröjsmål

Anmälan av personuppgiftsincident

  • Till tillsynsmyndighet: Inom 72 timmar efter att ha blivit medveten (artikel 33)[5]
  • Till registrerade: Utan onödigt dröjsmål vid hög risk för rättigheter och friheter (artikel 34)
  • Dokumentation: Föra register över alla incidenter oavsett anmälningskrav

Påföljder

GDPR fastställer en tvåstegsstruktur för påföljder:

  • Lägre nivå: Upp till 10 miljoner euro eller 2 % av den årliga globala omsättningen, beroende på vilket som är högst
  • Högre nivå: Upp till 20 miljoner euro eller 4 % av den årliga globala omsättningen, beroende på vilket som är högst[6]

Stora böter som utfärdats inkluderar:

  • Amazon (Luxemburg, 2021): 746 miljoner euro
  • Meta/Facebook (Irland, 2023): 1,2 miljarder euro
  • Google (Frankrike, 2022): 90 miljoner euro

Implementeringschecklista

  • Identifiera alla personuppgiftsbehandlingsaktiviteter
  • Fastställ laglig grund för varje behandlingsåtgärd
  • Implementera samtyckeshantering där det är tillämpligt
  • Skapa integritetsmeddelanden som uppfyller transparenskrav
  • Bygg mekanismer för hantering av registrerades förfrågningar
  • Implementera lämpliga säkerhetsåtgärder
  • Upprätta rutiner för upptäckt och anmälan av incidenter
  • Genomför konsekvensbedömningar för dataskydd vid hög risk
  • Utnämn dataskyddsombud om det krävs
  • Föra register över behandlingsaktiviteter (RoPA)

Källor & Referenser

[1]
Förordning (EU) 2016/679 från Europaparlamentet och rådet. EUR-Lex: GDPR Officiell text
[2]
GDPR:s territoriella tillämpningsområde, artikel 3. GDPR.eu: Territoriellt tillämpningsområde
[3]
Laglighet av behandling, artikel 6. GDPR-Info: Artikel 6
[4]
Dataskydd som standard och i design, artikel 25. GDPR-Info: Artikel 25
[5]
Anmälan av personuppgiftsincident, artikel 33. GDPR-Info: Artikel 33
[6]
Administrativa böter, artikel 83. GDPR-Info: Artikel 83