Personuppgiftslagen (GDPR) är EU:s dataskyddsförordning som skyddar dina personuppgifter och ger dig kontroll över hur företag och myndigheter behandlar din personliga information. Sedan den trädde i kraft 2018 har lagen fundamentalt förändrat hur organisationer hanterar persondata och gett medborgarna betydligt starkare rättigheter.
Vad är personuppgiftslagen och GDPR?
GDPR (General Data Protection Regulation) är EU:s gemensamma dataskyddsförordning som gäller i alla medlemsländer, inklusive Sverige. I Sverige kompletteras GDPR av den nationella dataskyddslagen som innehåller specifika bestämmelser för svenska förhållanden.
Personuppgifter definieras som all information som direkt eller indirekt kan kopplas till en identifierad eller identifierbar fysisk person. Det inkluderar uppgifter som namn, personnummer, e-postadress, IP-adress, men också mer känslig information som politiska åsikter, religiös tillhörighet eller hälsodata.
Lagen syftar till att harmonisera dataskyddet inom EU samtidigt som den stärker individens rättigheter och kontroll över sina personuppgifter. Den gäller för alla organisationer som behandlar personuppgifter från EU-medborgare, oavsett var organisationen är etablerad.
Dina grundläggande rättigheter enligt GDPR
Rätt till information och transparens
Du har rätt att få veta vilka personuppgifter som behandlas om dig och varför. Företag och myndigheter måste informera dig om behandlingen på ett tydligt och lättförståeligt sätt. Denna information ska lämnas när personuppgifterna samlas in eller senast inom en månad.
Informationen ska inkludera behandlingens syfte, lagliga grund, vilka kategorier av personuppgifter som behandlas, hur länge de sparas och vilka rättigheter du har. Om uppgifterna kommer att delas med andra organisationer måste även detta specificeras.
Rätt till tillgång och registerutdrag
Du kan begära registerutdrag för att få en kopia av alla personuppgifter som en organisation har om dig. Begäran ska besvaras kostnadsfritt inom en månad. Registerutdraget ska innehålla information om behandlingens syfte, kategorier av personuppgifter och mottagare som uppgifterna delats med.
Denna rättighet är särskilt viktig för att du ska kunna kontrollera att uppgifterna är korrekta och att behandlingen sker på ett lagligt sätt. Du kan begära registerutdrag från alla organisationer som behandlar dina personuppgifter.
Rätt till rättelse och radering
Om personuppgifter om dig är felaktiga eller ofullständiga har du rätt att få dem rättade. Du kan också begära att få uppgifter raderade i vissa fall, till exempel om de inte längre är nödvändiga för det ursprungliga syftet eller om du återkallar ditt samtycke.
Rätten till radering, också kallad "rätten att bli glömd", innebär att organisationen inte bara ska radera uppgifterna från sina egna system utan också informera andra som fått uppgifterna om att de ska raderas.
När får företag behandla dina personuppgifter?
Lagliga grunder för behandling
GDPR kräver att det finns en laglig grund för all behandling av personuppgifter. De sex lagliga grunderna är: samtycke, avtal, rättslig förpliktelse, skydd av vitala intressen, offentlig uppgift och berättigat intresse. Varje behandling måste baseras på minst en av dessa grunder.
Samtycke måste vara frivilligt, specifikt, informerat och entydigt. Det betyder att du aktivt måste godkänna behandlingen och att organisationen tydligt måste förklara vad samtycket gäller. Du har alltid rätt att återkalla ditt samtycke.
Berättigat intresse används ofta av företag och innebär att organisationen väger sitt behov av att behandla personuppgifter mot din rätt till skydd. Exempel kan vara direktmarknadsföring till befintliga kunder eller it-säkerhet.
Särskild behandling av känsliga uppgifter
Känsliga personuppgifter, som uppgifter om hälsa, politiska åsikter, religiös tillhörighet eller sexuell läggning, har ett starkare skydd. Dessa får endast behandlas under särskilda omständigheter, till exempel med ditt uttryckliga samtycke eller för viktiga samhällsintressen.
Inom hälso- och sjukvården finns särskilda regler som tillåter behandling av hälsodata för vård och behandling. Arbetsgivare har mycket begränsade möjligheter att behandla känsliga personuppgifter om sina anställda.
Företagens skyldigheter och ansvar
Inbyggt dataskydd och dokumentation
Organisationer ska bygga in dataskydd redan från designfasen av sina system och processer. Detta kallas "privacy by design" och innebär att dataskyddet ska vara en integrerad del av verksamheten, inte en efterkonstruktion.
Företag måste dokumentera alla sina behandlingar av personuppgifter i ett behandlingsregister. Registret ska innehålla information om syftet med behandlingen, kategorier av personuppgifter, lagringstider och säkerhetsåtgärder. Detta register ska kunna visas upp för tillsynsmyndigheten vid begäran.
Säkerhetsåtgärder och incidenthantering
Organisationer måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot obehörig behandling, förlust eller skada. Åtgärderna ska anpassas efter risknivån och kan inkludera kryptering, åtkomstkontroll och regelbundna säkerhetskopior.
Vid en personuppgiftsincident, som ett dataintrång eller förlust av personuppgifter, måste organisationen anmäla detta till Integritetsskyddsmyndigheten inom 72 timmar. Om incidenten innebär hög risk för individernas rättigheter måste även de berörda personerna informeras utan onödigt dröjsmål.
Praktiska exempel på GDPR i vardagen
Exempel 1: Näthandel och cookies
När du besöker en webbutik möts du av en cookie-banner där du kan välja vilka cookies som får användas. Enligt GDPR måste webbutiken få ditt samtycke för alla cookies som inte är nödvändiga för att webbplatsen ska fungera. Du ska kunna välja fritt mellan olika kategorier av cookies, som analys, marknadsföring eller personalisering.
Om du handlar något online har webbutiken rätt att behandla dina personuppgifter för att fullfölja avtalet – det vill säga leverera varan och hantera betalningen. Men om de vill skicka marknadsföring via e-post behöver de ditt samtycke eller måste basera det på berättigat intresse om du är befintlig kund och marknadsföringen gäller liknande produkter.
Exempel 2: Jobbansökan och rekrytering
När du söker ett jobb och skickar in ditt CV har företaget rätt att behandla dina personuppgifter för rekryteringsprocessen baserat på ditt samtycke eller för att fullgöra åtgärder inför ett eventuellt anställningsavtal. Företaget måste informera dig om hur länge de sparar din ansökan och vilka som har tillgång till uppgifterna.
Efter att rekryteringsprocessen är avslutad måste företaget radera din ansökan inom skälig tid, ofta 6-12 månader, såvida du inte har gett samtycke till att de sparar uppgifterna för framtida rekryteringar. Om du får jobbet kan företaget spara uppgifterna som en del av din personalakt.
Vad händer vid överträdelser?
Sanktioner och böter
GDPR innehåller kraftfulla sanktionsmöjligheter. Integritetsskyddsmyndigheten kan utfärda administrativa sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av företagets globala årsomsättning, beroende på vilket belopp som är högst. Storleken på sanktionen beror på överträdelsens allvar, omfattning och om företaget har vidtagit åtgärder för att begränsa skadorna.
Förutom sanktionsavgifter kan myndigheten utfärda varningar, reprimander eller förelägganden om att företaget ska vidta specifika åtgärder. I allvarliga fall kan myndigheten förbjuda företaget att behandla personuppgifter helt eller delvis.
Skadestånd till enskilda
Du har rätt till skadestånd om du lidit skada på grund av en överträdelse av GDPR. Detta kan vara både ekonomisk skada, som kostnader för att återställa din identitet efter ett dataintrång, och immateriell skada som kränkning eller oro. Skadeståndet kan krävas direkt från det ansvariga företaget eller genom domstol.
Många länder har också infört möjligheter till grupptalan, där konsumentorganisationer kan föra talan på uppdrag av drabbade personer. Detta gör det enklare att få upprättelse även för mindre skador.
Så skyddar du dina personuppgifter
Aktivt användande av dina rättigheter
Ta kontroll över dina personuppgifter genom att regelbundet begära registerutdrag från företag som behandlar dina uppgifter. Detta hjälper dig att hålla koll på vad som sparas om dig och ger dig möjlighet att korrigera felaktiga uppgifter eller begära radering av information du inte längre vill ska sparas.
Läs integritetspolicyer och cookie-policyer innan du använder nya tjänster. Många företag erbjuder detaljerade inställningar där du kan styra vilka uppgifter som får behandlas och för vilka syften. Använd dessa inställningar för att begränsa behandlingen till vad som verkligen är nödvändigt.
Rapportera överträdelser
Om du upptäcker att ett företag eller en myndighet behandlar dina personuppgifter på ett felaktigt sätt kan du anmäla detta till Integritetsskyddsmyndigheten. Anmälan är kostnadsfri och kan göras via myndighetens webbplats. Inkludera så mycket dokumentation som möjligt, som skärmdumpar, e-post eller annan korrespondens.
Du kan också kontakta företaget direkt först för att försöka lösa problemet. Många företag har utsett en dataskyddsombud som ansvarar för GDPR-frågor och som kan hjälpa dig med dina frågor och klagomål.
Framtiden för dataskydd
Nya tekniska utmaningar
Utvecklingen av artificiell intelligens, internet of things och andra nya teknologier skapar nya utmaningar för dataskyddet. EU arbetar med att anpassa GDPR till dessa teknologier och har redan infört kompletterande regler som AI-förordningen och Digital Services Act.
Biometriska uppgifter som ansiktsigenkänning och fingeravtryck blir allt vanligare, vilket kräver särskilt stark säkerhet eftersom dessa uppgifter inte kan ändras om de kommer på villovägar. GDPR klassificerar biometriska uppgifter som känsliga personuppgifter när de används för identifiering.
Internationella dataöverföringar
Brexit och geopolitiska spänningar har gjort internationella dataöverföringar mer komplicerade. EU har infört nya mekanismer som adequacy decisions och standard contractual clauses för att säkerställa att personuppgifter får tillräckligt skydd även när de överförs till länder utanför EU.
För privatpersoner innebär detta att du kan vara trygg med att dina personuppgifter har samma skyddsnivå även när svenska företag använder molntjänster från amerikanska eller andra utländska leverantörer, förutsatt att företaget följer GDPR:s krav på överföringsmekanismer.
Om du behöver juridisk rådgivning gratis gällande dina rättigheter enligt GDPR, finns det flera alternativ tillgängliga. Många konsumentorganisationer erbjuder kostnadsfri vägledning om dataskydd och integritetsfrågor.