GDPR betyder eller är en förkortning för General Data Protection Regulation. På svenska heter den Dataskyddsförordningen. GDPR trädde i kraft våren 2018 – och gäller alla företag och organisationer som på något vis samlar in och behandlar så kallade personuppgifter. Det vill säga alla slags uppgifter som kan identifiera en individ direkt eller indirekt.
Eftersom en förkortning som GDPR och begrepp som “förordning”, “personuppgifter” och andra juridiska koncept i anslutning till denna EU-lag kan kännas abstrakta och svåra att greppa för någon som inte är jurist börjar vi från grunden och klargör först vad GDPR är så att ett barn på tio år kan förstå.
GDPR förklarat för ett barn
Tänk dig att du har en skattkista fylld med saker som bara tillhör dig. Till exempel en bok där ditt namn och din födelsedag är nedskrivet, vilka allergier du har, vilka mediciner du tar, vad för slags mat du tycker om, vilka spel du gillar att spela, din adress, med mera.
Du tycker att dessa uppgifter är värdefulla, bland annat eftersom det är saker som gör det möjligt för andra att förstå vem du är, var du finns eller vad du tycker om, med mera.
Därför vill du inte att någon ska öppna och ta sakerna i din skattkista eller använda den utan att fråga dig först.
GDPR är en regel som säger att företag och organisationer måste vara jätteförsiktiga med din “skattkista”. De måste berätta för dig om de vill öppna den och samla in information om dig, varför de gör det och hur de kommer att använda den. De får inte bara ta det som finns i kistan och göra vad de vill med den.
Om du säger “ja, du får använda allt eller något av informationen som finns i min skattkista” till ett företag, då måste de se till att den är säker och inte dela den med andra. Åtminstone inte utan din tillåtelse.
Om du ändrar dig och säger “nej, jag vill inte att du använder min information längre,” måste de lyssna på dig och sluta använda den. Därför att GDPR säger det.
Om de inte följer de regler som står i GDPR, kan de få betala en massa pengar som straff. Det är som om du skulle säga till företaget: “Om du inte tar hand om min skattkista ordentligt, får du inte längre leka med den, och du måste gå till polisen och säga vad du gjort!”
Så, GDPR är som vaktmästare som ser till att din “skattkista” av personlig information är säker och bara används på ett sätt som är okej för dig.
Polisen i GDPR-världen är den myndighet i landet som har ansvarar för att GDPR följs. I Sverige är det en myndighet som heter Integritetsskyddsmynidgheten – som förkortas IMY.
Sex (6) olika GDPR-nycklar till din skattkista
Att fråga om lov är ett sätt ett företag kan ha rätt att öppna skattkistan och använda dina skatter. Det betyder att det finns andra sätt som företaget eller organisationen kan använda sig av för att använda dina skatter.
Det kan liknas vid att din skattkista har flera olika lås, eller ett lås som kan öppnas med flera olika nycklar. Dessa olika nycklar representerar olika slag “rättsliga grunder”. Det finns totalt sex (6) olika slags rättsliga grunder – eller nycklar i GDPR.
- Samtycke: Detta är när du själv säger “ja, du får använda mina skatter för x eller y” – när företaget eller organisationen frågar dig om det.
- Avtal: Om du köper något på nätet kan företaget behöva veta vilken adress och e-post-adress som du har för att kunna skicka varorna till dig. Då kan företaget använda avtals-nyckeln till din kista. Med denna avtals-nyckel får de bara använda de saker i din kista som de behöver för att du ska kunna köpa produkten av dem. De får inte ta fler uppgifter av dig än vad som behövs.
- Rättslig förpliktelse: Ibland finns det lagar som säger att företag måste samla in vissa personuppgifter. Till exempel en friskola som måste veta vilka elever som går där. Den här nyckeln för bara användas där det står i en annan lag att organisationen eller företaget kräver det.
- Skydda grundläggande intressen: Den här nyckeln får bara öppna kistan när det behövs för att rädda ditt eller någon annans liv. Det är inte många verksamheter som får använda denna rädda-livet-nyckeln. Det är oftast inom vården som den här nyckeln kan bli aktuell.
- Myndighetsutövning: Den här nyckeln heter egentligen Myndighetsutövning och allmänt intresse. Den får användas av en myndighet som behöver dina personuppgifter för att uppfylla ett allmänintresse eller göra det som lagen kräver av den.
- Intresseavvägning: Den här nyckeln kan ett företag eller organisation använda om de har ett så kallat “berättigat intresse”. Och bara när det är viktigare för dem att få ut saker ur din skattkista än det här dig att behålla dem hemliga för dem.
IMY skriver på sin hemsida att direktmarknadsföring kan räknas som ett berättigat intresse. Men inte om det handlar om känsliga skatter = känsliga personuppgifter. Och inte om du säger att du inte vill.
Men det är bara om du är vuxen. Som barn är du extra skyddad inom GDPR. Det är därför mycket svårare att använda intresse-avvägnings-nyckeln för din skattkista.
Varje gång någon vill använda något från din skattkista måste de ha en av de sex nycklarna. De måste berätta för dig vilken nyckel de använder. Använder de en nyckel på fel sätt kan de få få problem och bli straffad för det.
Så, de olika nycklarna ser till att din skattkista med värdefull information bara öppnas när det verkligen är okej och säkert.
Låt oss nu gå över till att försöka förstå GDPR från ett vuxet perspektiv genom att kika närmare på varför GDPR finns? Och varför det är en lag som stiftades i Europa av den Europeiska Unionen och räknas som den starkaste dataskyddslagstiftningen i världen.
Varför finns GDPR?
GDPR skyddar grundläggande mänskliga fri- och rättigheter. Och även om den trädde i kraft så sent som 2018, är den baserad på EU:s tidigare dataskyddslagstiftning från 1995.
Den är samtidigt förankrad i historiska händelser som format synen på varför vi som medborgare i Europa tycker att personlig integritet och personuppgiftsskydd är en grundläggande mänsklig rättighet.
Inte minst Andra världskriget och Förintelsen, då den nazistiska regimen i Tyskland, och i de ockuperade länderna, använde omfattande personuppgiftsregister för att övervaka och förfölja människor.
Men GDPR är även till viss del “framkallad” av de lärdomar Europa dragit från situationen i det forna Östtyskland.
Underrättelsepolisen, Stasi, samlade in personuppgifter om miljontals människor, inklusive politiska aktivister, journalister, konstnärer och andra som ansågs vara “fiender till staten”.
Dessa personuppgifter användes för att övervaka, arrestera och tortera personer. Lägg på en efter-efter-krigstids-back-drop där datorer och servrar snart kunde samla in data, bland annat i form av personuppgifter, i en aldrig tidigare skådad omfattning och det är lätt att förstå att de europeiska lagstiftarna blev måna om att uppgradera ditt och mitt integritetsskydd.
När Edward Snowden sedermera avslöjade hur den amerikanska säkerhetstjänsten övervakade sina medborgare, steg motivationen ytterligare att få ihop en stark, omfattande och grundläggande integritetslagstiftning.
Sammantaget har således ett antal historiska händelser i Europa och den efterföljande utvecklingen av internet och webben lett fram till världens starkaste skydd för dina och mina personuppgifter oavsett om de hanteras och samlas in analogt eller digitalt.
GDPR omfattar alla organisationer som hanterar personuppgifter från EU-medborgare, oavsett om organisationen är baserad inom eller utanför EU.
Det betyder att ett företag som hör hemma utanför EU och riktar sig till den europeiska marknaden måste följa GDPR.
GDPR reglerar också till vilka länder personuppgifter från europeiska medborgare får skickas till och om det räknas som att de skickas till ett land utanför EU. Detta är något som varit mycket omtalat i relation till stora amerikanska tech-bolag som verkar i EU. Och det som kallas för Schrems-besluten.
Det går i regel inte att säga att personuppgifter inte skickas till ett land utanför EU genom att hänvisa till att data-servrarna där personuppgifterna behandlas är placerade inom EU. Bland annat eftersom det hänger på hur det så kallade tredjeland har för lagstiftning.
Läs mer om Schrems II – här.
Läs också: Går det att gör Max Schrems nöjd?
Det här indikerar att GDPR är en rätt så omfattande lagstiftning. Och en följdfråga som nu infinner sig är:
Exakt vad är GDPR – konkret? Hur många olika aspekter av hur personuppgifter får behandlas behandlar GDPR? Det korta svaret på dessa frågor är “mycket”.
GDPR är en omfattande lagstiftning.
Låt oss bryta ner det.
Vad är GDPR?
GDPR är ett omfattande dokument som består av 99 artiklar och 173 så kallade skäl.
Ett skäl ger bakgrundsinformation som förklarar de bakomliggande skälen för reglerna, och bistår med tolkningsstöd.
Varje artikel och skäl adresserar en specifik aspekt av dataskyddet och ger tillsammans en ram för hur personuppgifter ska skyddas och hanteras i EU. Lagen, eller förordningen, är uppdelad i elva (11) kapitel
Här följer en övergripande beskrivning av vad de olika kapitlen i dataskyddsförordningen – det vill säga GDPR – reglerar.
Vad handlar kapitel 1 i GDPR om?
Det första kapitelet i GDPR beskriver förordningens allmänna bestämmelser och består av artikel 1-4.
Här definieras de grundläggande syftet med förordningen, definitioner och dess tillämpningsområde. Vad handlar kapitel 2 i GDPR om?
Vad handlar kapitel 2 i GDPR om?
I detta andra kapitel i GDPR beskrivs de grundläggande principerna för behandling av personuppgifter. Kapitel består av artikel 5-11.
Kapitlet behandlar begrepp som laglighet, rättvisa och transparens, ändamålsenlighet, dataminimering, lagringsbegränsning samt integritet och konfidentialitet.
Vad handlar kapitel 3 i GDPR om?
I GDPR:s tredje kapitel behandlas den registrerade rättigheter. Kapitlet består av artikel 12-23.
Detta kapitel listar de rättigheter som individer har kring sina personuppgifter. Från rätten att bli informerad, rätten till tillgång, rätten till rättelse, rätten till radering (även känt som “rätten att bli bortglömd), rätten att begränsa behandling, rätten till dataportabilitet och rätten att motsätta sig behandling.
Vad handlar kapitel 4 i GDPR om?
Det fjärde kapitlet i GDPR består av artikel 24-43 och handlar om de mycket centrala begreppen personuppgiftsansvarig och personuppgiftsbeträde.
Det svenska ordet personuppgiftsansvarig heter på engelska data controller.
Det svenska ordet personuppgiftsbiträde heter på engelska data processor.
Begreppen controller och processor är centrala för GDPR eftersom de definierar vem som har vilket slags ansvar i den process där personuppgifter samlas in och processas.
Detta kapitel beskriver således de skyldigheter en organisation som hanterar personuppgifter har för att detta ska ske på ett lagligt och säkert sätt.
Dessa regler innefattar bland annat krav på att implementera lämpliga tekniska och organisatoriska skyddsåtgärder, att use ett dataskyddsombud vid behov och att rapportera dataintrång till tillsynsmyndigheter och de berörda individerna inom en viss tidsperiod.
Vad handlar kapitel 5 i GDPR om?
Kapitel fem i GDPR behandlar överföring av personuppgifter personuppgifter till tredje land eller internationella organisationer och består av artikel 44 till 50.
Här har vi således det kapitel som de så kallade Schrems-domarna (Schrems 1 och Schrems 2) kretsar kring. Här kan man läsa mer om om och hur personuppgifter får överföras utanför EU.
Vad handlar kapitel 6 i GDPR om?
Kapitel beskriver således hur den myndighet som har till uppgift att övervaka hur GDPR tillämpas ska upprättas och vad dess uppdrag består i.
Vad handlar kapitel 7 i GDPR om?
Det sjunde kapitlet reglerar samarbete och enhetlighet och består av artikel 60 till 76.
GDPR är en förordning. Det betyder att den ska tillämpas lika i alla medlemsländer. Detta kapitel beskriver hur tillsynsmyndigheter ska samarbeta för att uppnå samstämmighet i sina beslut.
Vad handlar kapitel 8 i GDPR om?
Det betyder att kapitlet reglerar de rättsliga åtgärder och sanktionsavgifter som kan vidtas vid överträdelser av GDPR.
Vad handlar kapitel 9 i GDPR om?
Vad handlar kapitel 10 i GDPR om?
Vad handlar kapitel 11 i GDPR om?
I detta sista kapitel, som sträcker sig från artikel 94 till 99, finns dataskyddsförordningens “slutbestämmelser”. Här behandlas bland annat när och hur GDPR träder i kraft.
Extra intressant är att artikel 95 uttryckligen handlar om ePrivacy-direktivet – den så kallade cookielagen – från 2002. Den klargör att om vissa aspekter av persondataskydd redan täcks av ePrivacy-direktivet behöver man inte oroa sig för ytterligare krav från GDPR för dessa specifika aspekter.
Detta kapitel innehåller de slutliga bestämmelserna för GDPR, inklusive när och hur den träder i kraft. Värt att notera här är hur artikel 95 uttryckligen handlar om ePrivacy-direktivet, den så kallade cookie-lagen, från 2002. Den klargör att om vissa aspekter av persondataskydd redan täcks av ePrivacy-direktivet behöver dessa aktörer inte oroa sig för ytterligare krav från GDPR för dessa specifika aspekter.
Ok, så GDPR eller Dataskyddsförordningen som den heter på ren svenska, består av elva kapitel och 99 artiklar. Vill du läsa och gå igenom hela lagstiftningen hittar du dokumentet här. Det kan dock vara lite lättare att navigera förordningen på den här, lite mer, interaktiva sidan.
Som beskrivs ovan, om kapitel 2:s skop, har GDPR ett antal grundläggande principer. De är ytterst centrala för att förstå vad GDPR är och hur man som företag eller organisation ska tänka när man vill följa den.
Låt oss därför titta närmare på vad GDPR:s grundläggande principer säger.
Grundläggande principer i GDPR
Principerna säger att den som som är personuppgiftsansvarig
- måste ha stöd i dataskyddsförordningen/GDPR för att få behandla personuppgifter
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- inte ska behandla fler personuppgifter än vad som behövs för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs
- ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
- ska kunna visa att man lever upp till dataskyddsförordningen och hur man gör det.
Dyrt att bryta mot GDPR
Den 25 maj 2018 trädde General Data Protection Regulation – GDPR – i kraft. Europas nya dataskyddsförordning var det första ordentliga omtag av EU:s dataskyddförordningar på mer än 20 år.
Dess tyngd och förankring i grundläggande mänskliga rättigheter speglas i de sanktionsavgifter som är kopplade till lagstiftningen. Den som inte följer reglerna kan drabbas av sanktionsavgifter på upp till 20 miljoner euro, eller 4% av företagets globala årsomsättning, från det föregående finansiella året.
Även om detta kan svida mer eller mindre beroende på företagets, så att säga, ekonomiska profil så är det inga småpotatis.
Sanktionsavgifterna står reglerade i kapitel åtta av GDPR.
Vad räknas som personuppgift enligt GDPR?
Vad en personuppgift är står beskrivet artikel 4. Här slås fast att persondata/personuppgift syftar på all information som rör en person som är identifierad eller en person som kan identifieras.
Identifierbar betyder att personen eller individen kan identifieras direkt eller indirekt.
I artikel fyra klargör man att detta särskilt kan syfta på uppgifter som namn, identifikationsummer, en lokaliseringsuppgift, eller online-identifierare eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
IMY hjälper till att klargöra detta ytterligare genom att på sin hemsida ge följande exempel på personuppgifter:
- ditt namn
- din adress
- din e-postadress
- ditt personnummer
- ditt id-kortnummer
- ditt telefonnummer
- din IP-adress när du surfar på nätet
- ett foto av dig.
IMY understryker också att en ljudinspelning som lagras på en dator kan räknas som en personuppgift även om inget namn uppges i inspelningen.
GDPR i ett nötskal – en sammanfattning
GDPR är en förkortning av General Data Protection Regulation. På svenska heter den Dataskyddsförordningen.
Förordningen trädde i kraft 2018 och reglerar hur företag och organisationer får samla in och behandla personuppgifter som rör människor i den europeiska unionen (EU) samt i det europeiska ekonomiska samarbetsområdet (EES). Det sistnämnda innefattar Norge, Island och Liechtenstein – länder som inte är med i EU.
Det spelar ingen roll om företaget inte har sin juridiska hemvist i EU. Om det verkar i EU och hanterar och samlar in personuppgifter från EU-medborgare kan den prövas av en dataskyddsmyndigheter i EU.
GDPR är förankrad i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Samt även EU:s stadga om grundläggande rättigheter.
I Sverige är det Integritetsskyddsmyndigheten (IMY) som ansvarar för att GDPR följs.
Sanktionsavgifterna för brott mot GDPR är 20 miljoner euro eller upp till fyra procent av en organisations årliga omsättning.
GDPR räknas som en av de starkaste privacy-lagstiftningarna i världen. Flera andra länder i världen har inspirerats av GDPR och stiftat liknande lagar.