Secify.com

Vad är GDPR?

28 december, 2024
Uppskattad lästid: 3 min

GDPR, eller General Data Protection Regulation, är en EU-förordning som trädde i kraft den 25 maj 2018. På svenska kallas den Dataskyddsförordningen. Syftet med GDPR är att stärka skyddet av personuppgifter för individer inom EU och ge dem större kontroll över hur deras data används. För dig som driver en verksamhet som omfattas av GDPR innebär detta att du måste följa specifika regler för insamling, lagring och hantering av personuppgifter.

Vad räknas som personuppgifter?

Personuppgifter är all information som kan kopplas till en levande fysisk person. Det kan till exempel vara uppgifter som adress och personnummer, men även IP-adresser, e-postadresser samt foton eller videor där en person kan identifieras. Information om en persons hälsa, ekonomiska situation eller politiska åsikter räknas också som personuppgifter.

En tumregel är: Om du kan använda informationen för att identifiera en specifik person, bör du betrakta den som en personuppgift. Ett halvt personnummer, en bild på en persons hår, ett förnamn eller en ofullständig adress är ingen personuppgift i sig. Däremot kan det bli en personuppgift om dessa uppgifter kombineras.

Låda med personuppgifter

Grundprinciper i GDPR

Nu när du vet vad en personuppgift är, är det viktigt att förstå hur dessa uppgifter ska förvaltas, eller hanteras på ett tryggt och ansvarsfullt sätt. För att följa GDPR behöver du säkerställa att personuppgifter behandlas enligt ett antal grundläggande principer. Dessa principer fungerar som riktlinjer för att skapa en rättvis, laglig och transparent hantering av uppgifterna.

  1. Laglighet, korrekthet och öppenhet:
    Behandlingen ska vara laglig och transparent gentemot den registrerade.
  2. Ändamålsbegränsning:
    Personuppgifter får endast samlas in för specifika och legitima ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål.
  3. Uppgiftsminimering:
    Endast de personuppgifter som är nödvändiga för ändamålet ska behandlas.
  4. Riktighet:
    Personuppgifter ska vara korrekta och uppdaterade.
  5. Lagringsminimering:
    Uppgifter får inte lagras längre än nödvändigt för de ändamål de behandlas för.
  6. Integritet och konfidentialitet:
    Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstöring eller skada.

Rättsliga grunder för behandling

För att behandla personuppgifter på ett lagligt sätt krävs det att du har en rättslig grund, vilket betyder att det måste finnas ett tydligt och giltigt skäl för att samla in och använda uppgifterna. En rättslig grund är som en ”tillåtelse” som gör det lagligt att hantera personuppgifter enligt GDPR.

Exempel på en rättslig grund är samtycke. Om en person uttryckligen har gett sitt medgivande till att du hanterar deras uppgifter, exempelvis genom att fylla i ett formulär där de godkänner att du skickar nyhetsbrev, har du en rättslig grund för att behandla deras e-postadress. Andra rättsliga grunder inkluderar exempelvis att behandlingen är nödvändig för att fullgöra ett avtal, som när du behöver hantera kunduppgifter för att leverera en beställd vara.

  • Samtycke:
    Den registrerade har gett sitt tydliga samtycke till behandlingen.
  • Avtal:
    Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade.
  • Rättslig förpliktelse:
    Behandlingen är nödvändig för att uppfylla en rättslig skyldighet.
  • Berättigat intresse:
    Behandlingen är nödvändig för att tillgodose ett berättigat intresse, förutsatt att den registrerades grundläggande rättigheter inte väger tyngre.
Dokument kring en person

Registrerades rättigheter

Under GDPR har individer flera viktiga rättigheter som är utformade för att ge dem kontroll över sina personuppgifter och säkerställa att deras integritet skyddas. Som ansvarig för behandlingen av personuppgifter är det ditt ansvar att respektera och underlätta dessa rättigheter. Här är några av de centrala rättigheterna:

  • Rätt till information: Personer har rätt att veta vilka personuppgifter du behandlar och varför.
  • Rätt till tillgång: De kan begära en kopia av de personuppgifter du har om dem.
  • Rätt till rättelse: Om uppgifterna är felaktiga har de rätt att få dem korrigerade.
  • Rätt till radering: Under vissa omständigheter kan de begära att deras uppgifter raderas.
  • Rätt till begränsning av behandling: De kan begära att behandlingen av deras uppgifter begränsas.
  • Rätt till dataportabilitet: De har rätt att få sina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format.
  • Rätt att göra invändningar: De kan invända mot behandling baserad på berättigat intresse eller direktmarknadsföring.

Om något händer med personuppgifterna

Om ditt företag drabbas av en personuppgiftsincident, som exempelvis ett dataintrång, obehörig åtkomst eller oavsiktlig förlust av personuppgifter, är det viktigt att agera snabbt och ansvarsfullt. Enligt GDPR måste du anmäla incidenten till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från det att du blivit medveten om den, om det är sannolikt att incidenten innebär en risk för de drabbade individernas rättigheter och friheter.

Anmälan ska innehålla följande information:

  • En beskrivning av vad som har hänt.
  • Vilka typer av personuppgifter som påverkats.
  • Antalet individer som kan vara drabbade.
  • Vilka åtgärder ni har vidtagit eller planerar att vidta för att hantera incidenten och minimera skadan.

I de fall där incidenten innebär en hög risk för de drabbade individernas rättigheter och friheter, måste även de individer vars personuppgifter påverkats informeras utan onödigt dröjsmål. Informationen till dem ska vara tydlig och begriplig, och den bör inkludera:

  • En beskrivning av incidenten.
  • Vilka konsekvenser som kan uppstå för den enskilde.
  • Vilka åtgärder som har vidtagits för att begränsa skadan.
  • Kontaktuppgifter till företaget eller dataskyddsombudet för frågor och vidare information.

Att hantera personuppgiftsincidenter på ett korrekt sätt är avgörande för att skydda de drabbade och behålla förtroendet för företaget. Det visar också att du tar ditt ansvar enligt GDPR på allvar.

Sanktioner vid bristande efterlevnad

Att inte följa GDPR kan leda till betydande böter. Beroende på överträdelsens allvar kan böterna uppgå till 20 miljoner euro eller 4% av företagets globala årsomsättning, beroende på vilket belopp som är högst.

Praktiska steg för efterlevnad

För att säkerställa att din verksamhet följer GDPR bör du:

  1. Kartlägga personuppgifter: Identifiera vilka personuppgifter du behandlar, var de lagras och hur de används.
  2. Uppdatera integritetspolicyer: Se till att dina policyer är tydliga och informativa, så att individer förstår hur deras data hanteras.
  3. Säkerställa rättslig grund: För varje behandling av personuppgifter, säkerställ att du har en giltig rättslig grund.
2024-12-28T16:18:42+01:00
Henrik Petterson

Skrivet av: Henrik Petterson

Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

Henrik Pettersons senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen